Käyttövaltuusperiaatteet ovat osa käyttövaltuuspolitiikkaa sekä keskeinen osa organisaation tietoturvapolitiikkaa. Periaatteiden avulla hallinnoidaan ja ohjataan organisaation tietojen ja tietojärjestelmien oikeaoppista käyttöä. Ne ovat oikein toteutettuina tietojärjestelmien käyttöön liittyvien kustannusten osalta usein myös säästöjä tuovia käytäntöjä, koska turhista lisenssikustannuksista päästään eroon. Tietojärjestelmien käyttö nopeutuu ja monenlaiset väärinkäytöksien (tahattomien ja tahallisten) mahdollisuudet pienenevät merkittävästi, kun käyttöoikeudet ovat hyvin hallittuja.

Terminologiset haasteet ovat Suomessa tuttuja. Toisen organisaation vasara voi tarkoittaa toisessa organisaatiossa talttaa, varsinkin kun puhutaan tietojärjestelmiin ja niiden sisäisiin tietosuojarakenteisiin liittyvistä termeistä.

Henkilöillä voi olla yksi tai useampia käyttäjätunnuksia. Yhteen käyttäjätunnukseen voi liittyä useita erilaisia käyttöoikeuksia yhdessä tai useammassa tietojärjestelmässä. Käyttöoikeusroolit ovat yhdistelmiä tietyssä tehtävässä tarvittavista käyttöoikeuksista. Sähköinen identiteetti sisältää henkilön ja hänen käyttäjätunnuksen tiedot tietojärjestelmissä.

IAM-järjestelmällä tarkoitetaan tässä artikkelissa keskitettyä tietojärjestelmää, jolla voidaan toteuttaa ja automatisoida identiteetti- ja käyttövaltuushallintaa ja sen valvontaa. Keskitetty kertakirjautuminen (SSO=single sign on) tarkoittaa sovellusta/palvelua, jolla tunnistettu käyttäjä voidaan päästää automatisoidusti sisään useampiin tietojärjestelmiin.

Tärkeää on luoda ensin ylätason periaatteita ja sen jälkeen miettiä niihin varsinainen käyttöön jalkauttamisen prosessi. Monissa organisaatioissa haasteita lisää ostopalvelusopimukset, joissa toisen yrityksen työntekijöitä toimii toisen yrityksen lukuun tai muunlaisella vuokratyösopimuksella ja käyttää joko omia tietojärjestelmiään tai toimeksiantajan tietojärjestelmiä (joissa tapauksissa sekä että). Tämä luo painetta henkilöstöhallinnon prosesseihin sekä käyttöoikeuksien ajan tasalla pitämiseen. Sopimuksissa pitää velvoittaa, että tiedot siitä kuka ja mitä oikeuksia tarvitsee –pidetään viestinnällisesti ajan tasalla, jotta käyttöoikeuksien ylläpitäjät pystyvät hoitamaan tehtävänsä. Useat organisaatiot kärsivät nk. haamukäyttäjistä. Järjestelmissä on käyttöoikeuksia aktiivisena henkilöillä, joilla ei tosiasiallista käyttötarvetta tai oikeutta enää pitäisi olla.

Identiteetin hallinta

Periaate 1: Tietojärjestelmiä käyttävät henkilöt pitää tunnistaa.

Toteuttamisvinkkejä:

1. Perustettaessa uusi käyttäjätunnus tietojärjestelmään, joka sisältää henkilötietoja tai muita luottamuksellisia/salassa pidettäviä tietoja, tehdään ensimmäinen tunnistus valokuvallisesta henkilöllisyystodistuksesta tai sähköiseen palveluun rekisteröitymisen osalta käyttäen vahvaa tunnistusmenetelmää.
2. Henkilökunnan osalta riittää, että henkilö on tunnistettu valokuvallisesta henkilöllisyystodistuksesta aiemmin esim. työsopimuksen teon yhteydessä.
3. Opiskelijoiden osalta riittää, että heidät on tunnistettu oppilaitokseen ja tieto toimitetaan harjoittelujakson järjestevään organisaatioon.
4. Henkilöiden pitää olla hyväksyttyjä käyttämään kyseistä järjestelmää (erityisesti sosiaali- ja terveyspalveluissa huomioitava).
5. Tehtävistä ja tarvittavista käyttöoikeuksista riippuen pyydetään myös tarpeellisessa laajuudessa turvallisuusselvitys. Selvityksen kohteelta pyydetään etukäteen asiaan liittyen kirjallinen suostumus (Suomessa turvallisuusselvityksistä on säädetty lailla).
6. Terveydenhuollon ammattihenkilön ammattipätevyys tarkistetaan JulkiTerhikki-rekisteristä. (Jatkossa vastaava ratkaisu voi tulla kyseeseen myös sosiaalihuollon ammattihenkilöiden tarkistamiseen ennen työsuhteeseen ottamista)
7. Käyttäjällä pitää olla järjestelmän käyttöön vaadittava riittävä koulutus
8. Henkilötunnusta voi käyttää henkilöiden erottamiseen toisistaan järjestelmän sisällä, mutta sitä ei saa esimerkiksi käyttää suoraan käyttäjätunnuksena tai salasanana.

Periaate 2. Käyttäjätunnukset ovat henkilökohtaisia.

Toteuttamisvinkkejä:

1. Yhteiskäyttöisiä käyttäjätunnuksia (esimerkiksi yhteiskäyttöinen Windows-tunnus) ei perusteta eikä saa käyttää kuin erikseen hyväksytyissä poikkeustapauksissa.
2. Käyttäjätunnus voidaan jäljittää luotettavasti henkilöön ja myös yhteiskäyttötunnuksilla ja nk. laite- tai tilaresurssitunnuksilla on aina omistaja tai vastuuhenkilö.
3. Käyttäjätunnuksiin ja laajemmin henkilöiden sähköisiin identiteetteihin liittyvät tiedot pidetään ajan tasalla. Esimerkiksi henkilön yhteystietojen ajantasaisuudesta eri järjestelmissä tulee huolehtia IAM-järjestelmällä tai muulla tavalla.
4. Käyttäjätunnukseen liitetyn rakenteen/tiedon/ominaisuuden avulla voidaan erotella ulkoiset ja sisäiset käyttäjät.
5. Tietojärjestelmissä pidetään yllä käyttäjärekisteriä.

Käyttöoikeuksien hallinta

Periaate 3. Käyttöoikeuksien myöntö, muuttaminen ja poisto on organisoitu ja vastuutettu.

Toteuttamisvinkkejä:

1. Käyttöoikeudet ovat henkilö- tai tehtäväroolikohtaisia.
2. Käyttöoikeuksien hallintaan (vähintään rooli tai käyttöoikeusryhmätasolla) on oltava sovittu prosessi.
3. Käyttöoikeuksille (esimerkiksi rooli- tai käyttöoikeusryhmätasoisesti) on nimetty omistajat.
4. Käyttöoikeudet myönnetään silloin, kun työtehtävät niin edellyttävät.
5. Käyttöoikeudet perustuvat palvelussuhteeseen tai muuhun kirjalliseen sopimukseen ja järjestelmien käyttö estetään teknisesti ilman tarpeetonta viivytystä perusteen päätyttyä.
6. Käyttöoikeuden välitön päättäminen tai passivointi on kuvattu prosessina, joka on dokumentoitu.
7. Kielletyt työ- ja rooliyhdistelmät on dokumentoitu ja oikeuksia myönnettäessä tai muutettaessa kiellettyjen yhdistelmien syntymistä seurataan ja ne estetään.
8. Vaarallisia työ- ja rooliyhdistelmiä seurataan ja niitä vältetään mahdollisuuksien mukaan.
9. Ylläpito-, pääkäyttäjä- ja hallintaoikeuksista ja niihin liittyvistä tehtävistä ohjeistetaan erillisellä määräyksellä tietojärjestelmien ylläpidosta.
10. Ostopalvelusopimuksissa on kirjattuna pakolliset vaatimukset käyttöoikeuksien hallintaan, identiteetin hallintaan ja ylläpitoon sekä niiden muutoksista ilmoittamiseen silloin kun ulkoiset käyttäjät käyttävät toimeksiantajan tietojärjestelmiä ja tai niiden tietoja.
11. Tavoitteena kannattaa pitää ratkaisua, jonka avulla voidaan anoa käyttöoikeudet sähköisesti ja käyttää enenevästi keskitettyä IAM-järjestelmää.
    1. Tämä tulee ottaa huomioon hankittaessa ja suunniteltaessa uusien tietojärjestelmien käyttöönottoa.
    2. Jo olemassa olevien järjestelmien kehityksessä pitää asia huomioida, jos niitä ei vielä ole liitetty keskitettyyn käyttövaltuushallintaan.

Periaate 4. Tietojärjestelmien käyttäjätunnukset ja käyttöoikeudet katselmoidaan vähintään kerran vuodessa ja tarpeettomat tunnukset, roolit ja oikeudet suljetaan tai poistetaan.

Toteuttamisvinkkejä:

1. Tietojärjestelmille on nimetty omistajataho. Tietojärjestelmän katselmoinnin tulos raportoidaan tietojärjestelmän omistajalle.
2. Tietojen ja tietojärjestelmien käyttöön liittyvät työroolit ja tehtävät pitää olla kuvattuna ja dokumentoituina.
3. Työroolien tai -tehtävien muuttuessa käyttöoikeudet pitää katselmoida ja tarvittaessa muuttaa vastaamaan tarpeita. Muutokset voivat johtua esimerkiksi lainsäädännöstä, joka edellyttää tietyissä työtehtävissä laajempia tai suppeampia käyttöoikeuksia tietoihin.
4. Käyttäjän ja esimiehen tulee yhteistyössä huolehtia siitä, että käyttöoikeudet päätetään silloin, kun työtehtävät eivät enää edellytä kyseisen tietojärjestelmän sisältämien tietojen käyttöä.

Käytönvalvonta

Periaate 5.: Tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytönvalvonnan sekä tietoverkkojen ja tietojärjestelmien asianmukaisilla ja riittävillä turvallisuusjärjestelyillä.

Toteuttamisvinkkejä:

1. Yksittäisen käyttäjän käyttöoikeudet voidaan selvittää tarvittaessa myös jälkikäteisesti.
2. Käyttöoikeuksien myöntöprosessista pitää jäädä jälki (lokitieto tai dokumentti), milloin ja millä perusteella käyttäjälle on myönnetty käyttöoikeus ja kuka sen on myöntänyt.
3. Käyttöoikeuksien muutosprosessista pitää jäädä jälki (lokitieto tai dokumentti), milloin ja millä perusteella käyttöoikeuksia on muutettu tai ne ovat poistettu ja kuka muutokset on tehnyt.
4. Järjestelmien tuottamiin käyttölokitietoihin saa olla pääsy ainoastaan henkilöillä, joiden työtehtäviin käyttölokien valvonta tai muu käsittely on sovittu.

Periaate 6. Käytön seurantaan ja valvontaan on laadittu kirjallinen suunnitelma, jota noudatetaan.

Toteuttamisvinkkejä:

1. Käytönvalvonta on organisoitu ja dokumentoitu ja tulokset raportoidaan tietotilinpäätöksessä.
2. Tietoturvan omavalvontasuunnitelma pitää olla laadittuna ja ajan tasalla (lakisääteinen sosiaali- ja terveyspalveluissa, muutenkin järkevä sektorista riippumatta laatia).
3. Käyttäjätunnusten (aktiivisten ja passiivisten) määrää seurataan ja siltä osin kuin kustannuksia aiheutuu tunnuspohjaisesti, tilastoidaan myös niistä aiheutuvia kustannuksia (esimerkiksi lisenssimaksuja).
4. Ylläpito-, pääkäyttäjä- ja hallintaoikeuksien määrää ja käyttöä kontrolloidaan tarkasti.

Tietoturva ja tietosuoja

Periaate 7. Tietojärjestelmien tietoturva- ja tietosuoja-asioista huolehtiminen muodostuu osaksi toimintakulttuuria.

Toteuttamisvinkkejä:

1. Noudatetaan organisaation tietoturvapolitiikkaa, johon jokaisen tietojärjestelmiä tai tietoja käyttävän pitää perehtyä.
2. Organisaation salassa pidettävien tietojen käyttäjiltä edellytetään ajanmukaisen tietojen ja tietojärjestelmien käyttö- ja salassapitositoumuksen hyväksyminen.
3. Tietojärjestelmissä käsiteltävien tietojen salassapito ja muu suoja varmistetaan antamalla käyttöoikeudet tarvittavassa laajuudessa vain niille henkilöille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekistereihin talletettuja henkilötietoja työtehtäviensä hoitamiseksi.
4. Kunnioitetaan työkavereiden sekä kansalaisten yksityisyyden suojaa.
5. Tietojärjestelmien ja tietojen väärinkäyttöön liittyviin epäilyihin luodaan ilmoituskanava/prosessi ja niihin reagoidaan nopeasti
6. Havaituista tietoturvallisuuden tai tietosuojan puutteista ja väärinkäytöksistä ilmoitetaan viivytyksettä järjestelmän vastuuhenkilöille, tukikeskukselle tai suoraan tietoturvan ja tietosuojan vastuuhenkilöille (kuten tietoturvapäällikkö, tietosuojavastaava).
7. Ymmärretään imagolliset asiat sekä se, että vahingon torjunta on halvempaa kuin sen korjaaminen.

Periaate 8. Teknisestä tietoturvasta huolehditaan suunnittelemalla ja toteuttamalla tietojärjestelmäratkaisut huolellisesti.

Toteuttamisvinkkejä:

1. Kunnilla uusien tietojärjestelmien käyttövaltuushallinta pitää määritellä ja toteuttaa kuntasektorin käyttövaltuushallinnan kulloinkin voimassa olevan viitearkkitehtuurin mukaisesti (versio 1.0 valmistui 2013).
2. Tietojärjestelmähankinnoissa pitää pakollisilla vaatimuksilla huolehtia riittävän korkeasta tietoturvatasosta ja noudattaa Eu:n tietosuoja-asetuksen periaatetta ”privacy by default” Huomionarvoisia asioita oat mm. tunnistautuminen, istunnon hallinta, käyttövaltuuksien hallinta ja tietojen suojaus. Tietojen tai toiminnan osalta kriittiset järjestelmät tulee auditoida tarpeen vaatiessa ja mieluiten ensimmäisen kerran ennen käyttöönottoa.
3. Tavoitteena kannattaa olla vahva tunnistautuminen tietokoneille (esimerkiksi toimikortilla) ja sen jälkeen keskitetysti hallittu kertakirjautuminen (SSO) sovelluksiin, jolloin käyttäjien ei tarvitse muistaa useita eri tunnuksia ja salasanoja.
4. Tietojärjestelmien salasanoja ei tallenneta eikä välitetä verkon yli selväkielisenä. Esimerkiksi www-pohjaisissa sovelluksissa pitää sisään kirjautuminen tehdä käyttäen salattua yhteyttä (yleensä https-protokollaa).
5. Kansalaiselle suunnatuissa sähköisissä palveluissa pitää olla käytössä vahva tunnistaminen, jos tietojärjestelmä palauttaa käyttäjälle salassa pidettäviä tietoja (keskeinen huomioitava asia esim. sosiaali- ja terveydenhuollon internetpalvelut).

Periaate 9. Tietojärjestelmien käyttöön, tietoturvaan ja salassapitoon liittyvät asiat perehdytetään käyttäjille.

Toteuttamisvinkkejä

1. Yleisen perehdytyksen yhteydessä on tietojen ja tietojärjestelmien käyttöoikeuksiin ja käyttöön liittyvät asiat perehdytettävä.
2. Työntekijät perehdytetään siihen, että he vastaavat käyttäjätunnuksiensa huolellisesta käytöstä ja että he eivät saa antaa käyttäjätunnustaan/salasanaansa toisen henkilön käyttöön.
3. Henkilöstölle annetaan ohjeet ja koulutusta sähköisten asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä. Annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti.