Informationssäkerhetsanvisning

Transkript

1 Informationssäkerhetsanvisning för personalen Ledningsgruppen för datasäkerheten inom statsförvaltningen 7/2008 VAHTI

2

3 Informationssäkerhetsanvisning för personalen Ledningsgruppen f ör datasäkerheten inom statsförvaltningen 7/2008 VAHTI

4 FINANSMINISTERIET PB 28 (Snellmansgatan 1 A) STATSRÅDET Telefon (växeln) Internet: Layout: Pirkko Ala-Marttila/FM, informationen ISSN ISBN (nid) ISBN (pdf) Edita Prima Ab Helsingfors 2008

5 Förord Finansministeriet (FM) ansvarar för styrningen och utvecklingen av informationssäkerheten inom statsförvaltningen. Ledningsgruppen för datasäkerheten inom statsförvaltningen (VAHTI) har under sin drygt tioåriga verksamhetsperiod befäst sin ställning som ett organ för samarbete inom samt styrning och utveckling av informationssäkerheten inom förvaltningen. Genom det program för informationssäkerhet inom statsförvaltningen som leds av finansministeriet och koordineras av ledningsgruppen för datasäkerheten inom statsförvaltningen VAHTI (publikation utgiven av VAHTI 1/2004) utvecklas informationssäkerheten i hög grad som en del av all verksamhet. De sex delområden av programmet som framgår av figuren nedan inbegriper sammanlagt 29 omfattande utvecklingsobjekt. En figur över utvecklingsprogrammet för informationssäkerheten inom statsförvaltningen och dess projektområden 2. Att allmänt stödja informationssäkerhetsarbetet inom statsförvaltningen 3. Att främja datasäker kommunikation och ärendehantering 4. Att stödja informationssäkerhetsansvariga 5. Att stödja utvecklare av tjänsterna 6. Att stödja användaren 1. Att skapa en kultur för informationssäkerheten

6 Under den tid utvecklingsprogrammet har pågått har ett betydande utvecklingsarbete skett inom alla projektområden och inom sammanlagt 26 utvecklingsobjekt. I realiseringen deltar alla förvaltningssektorer i stor utsträckning och i en del av projekten deltar kommuner och representanter för näringslivet samt andra sakkunniga. Antalet deltagare på statsförvaltningsnivå har varit över 300. Denna anvisning har utarbetats av en sektion för datasäkerhetsarbete för användarna som är underställd VAHTI. Anvisningen godkändes vid VAHTI:s sammanträde i mars Anvisningen ersätter den tidigare datasäkerhetsanvisningen för användare (VAHTI 5/2003).

7 Innehåll Förord Inledning Centrala anvisningar Vad avses med informationssäkerhet? Varför är informationssäkerhet viktigt? Lagstiftningen som grund för informationssäkerheten Ärendehantering och hantering av information Information som gäller arbetet Intervjuer, förfrågningar, undersökningar och överlåtelse av information Privat information och integritet På arbetsplatsen Användning av dator Användarrättigheter och lösenord Internet och e-post Säkerheten i lokaliteterna Mobilt arbete, distansarbete och researbete Mobilt arbete och mobilutrustning Distansarbete och distansanvändning På hemdatorn Researbete Problemsituationer Anmälningsplikt och förfarande vid problemsituationer Om du misstänker att datasekretessen kränkts eller att din dator blivit smittad av sabotageprogram Påföljder...26

8 6 Var får man ytterligare information?...27 Bilaga 1: Lagstiftning med nära anknytning till informationssäkerheten...29 Bilaga 2: Vahti-publikationer som är i kraft... 31

9 7 1 Inledning Informationssäkerhetsarbetet baserar sig på lagstiftning och normstyrning. Ansvaret för informationssäkerheten och det kunnande som är förknippat med den gäller alla, också dig. Denna informationssäkerhetsanvisning är avsedd för all personal inom den offentliga förvaltningen, personer som arbetar på uppdrag av förvaltningen (t.ex. tjänsteleverantörer) och personer som regelbundet använder dess datasystem eller lokaliteter (t.ex. studerande). Anvisningen kan tillämpas även i organisationer utanför den offentliga förvaltningen. I anvisningen behandlas de viktigaste grundläggande frågorna beträffande informationssäkerhet. Den ger råd om hur informationssäkerheten kan tillämpas i det egna arbetet och i andra praktiska situationer. Avsikten har varit att skriva texten så att den lämpar sig för så många organisationer som möjligt. I varje organisation kan man dock till följd av verksamhetens speciella natur tillåta undantag, tillägg och preciseringar till denna anvisning, vilka naturligtvis bör följas. Och när du får en god idé som förbättrar informationssäkerheten, ta initiativ i frågan. 1.1 Centrala anvisningar Följ med meddelanden om informationssäkerhet, bekanta dig med anvisningar och delta i utbildning som erbjuds dig. Handla i enlighet med anvisningar du fått. Stöd för din egen del passerkontrollen och använd ditt personkort som är försett med fotografi (om du har fått ett sådant) i organisationens lokaliteter. Lämna inte någon gäst ensam eller utan övervakning i ditt arbetsrum eller i andra lokaliteter i organisationen. Låt inte någon utomstående använda din dator. Följ principen rent skrivbord. Förvara inte sekretessbelagt material på ditt skrivbord.

10 Hantera information noggrant oberoende av medium, vare sig informationen förmedlas via en person, dator, papper, telefon eller fax. Överlåt inte personliga användarnamn och lösenord till någon annan person, inte ens till personalen inom dataadministrationen, eftersom de inte behöver dem. Låt inte någon annan person se din dataskärm eller ditt tangentbord då du hanterar känslig information eller då du matar in användarnamn och lösenord. Byt lösenord ofta och genast då du misstänker att någon annan har fått reda på dem. Använd information och arbetsredskap endast för skötseln av arbetsuppgifter. Installera inga program och gör inga ändringar i inställningarna om detta inte hör till dina arbetsuppgifter. Spara dina arbeten på nätservern vars information säkerhetskopieras regelbundet. Hämta dina utskrifter från nätskrivaren genast då de skrivits ut. Kom ihåg att du alltid uppträder som en representant för organisationen då du använder dess apparater, nät eller e-post. Använd alltid ändamålsenlig kryptering om du ska överföra sekretessbelagd information via internet. Om du överför material via en minnessticka eller annat lagringsmedium ska du alltid övervaka överföringen själv. Förhindra obehörigt tillträde till datasystemen genom att låsa din arbetsstation varje gång du lämnar ditt arbetsrum. Logga ut ur datasystemet då arbetsdagen är slut och stäng din arbetsstation enligt organisationens anvisningar. Meddela alltid den datasäkerhetsansvariga, dataadministrationen eller din egen chef om problem i anslutning till informationssäkerheten och om hot och brister i dataskyddet som du observerat. Deras uppgift är att vidta behövliga åtgärder. Be vid behov experterna inom din organisation om råd. 1.2 Vad avses med informationssäkerhet? Syftet med informationssäkerhetsarrangemangen är att informationen, datasystemen och tjänsterna får tillbörligt skydd så att de risker som är förknippade med informationens konfidentialitet, integritet och tillgänglighet är under kontroll. Informationssäkerhet är en del av kvaliteten på organisationens verksamhet.

11 9 I praktiken betyder detta att en del av informationen och datasystemen hålls tillgängliga endast för de personer som är berättigade att använda dem. Då ges utomstående ingen rätt att hantera, ändra eller avlägsna information. Också de som har rätt att hantera informationen får använda information och system bara i sina arbetsuppgifter. Informationen, systemen och tjänsterna bör vara tillförlitliga, korrekta och tidsenliga. De får inte avslöjas, förändras eller förstöras okontrollerat till följd av utomståendes verksamhet, skadliga program, system- eller programfel eller andra skador och händelser. Informationen, systemen och tjänsterna bör också fungera och vara tillgängliga då de behövs. Att ärenden i allt större utsträckning sköts elektroniskt har ökat kravet på att parterna kan identifieras på ett tillförlitligt sätt och att händelsernas existens och innehåll kan verifieras även i efterhand. 1.3 Varför är informationssäkerhet viktigt? Genom informationssäkerhetsåtgärder tryggas individens, samfundens och samhällets intressen. Informationssäkerheten är en grundläggande förutsättning för samhällets funktioner, tjänster, applikationer och datatekniska infrastruktur. Samhällets funktioner är idag i hög grad beroende av hantering och överföring av information. I en omvärld som består av nätverk är få organisationer längre ansvariga enbart för sin egen informationssäkerhet. Var och en som arbetar i en organisation är skyldig att trygga informationssäkerheten. De största problemen med informationssäkerheten har i allmänhet att göra med brådska, slarv, okunskap och andra kvalitativa faktorer när det gäller datasystemens tillämpning och användning. Informationssäkerheten är lika bra som dess svagaste länk inte alltså bara tekniken utan också vårt vardagliga sätt att fungera och vår attityd. Bristfällig informationssäkerhet utgör en risk för statens, medborgarnas, samfundens och kundernas intressen och förorsakar extra arbete och kostnader. Genom att utveckla informationssäkerheten förbättras funktionernas tillförlitlighet och kontinuitet. 1.4 Lagstiftningen som grund för informationssäkerheten Inom den offentliga förvaltningen hanteras rikligt med information, både offentlig och sekretessbelagd. Vår lagstiftning innehåller många förpliktelser när det gäller informationssäkerheten. Med andra ord utgår också lagstiftningen från att informationssäkerheten måste skötas på tillbörligt sätt. Informationssäkerheten bygger på lagen och förordningen om offentlighet i myndigheternas verksamhet och på många andra lagar. Skyddet av privatlivet och

12 10 offentlighetsprincipen är grundrättigheter om vilka det stadgas i grundlagen. Enligt lagen om offentlighet i myndigheternas verksamhet är information offentlig om den inte är sekretessbelagd enligt lagen eller andra bestämmelser. Man ska alltid se till att information behandlas enligt lagen. En myndighet bör i syfte att införa och genomföra en god informationshantering se till att dess handlingar och datasystem samt uppgifterna i dem är behörigen tillgängliga, användbara, skyddade och integrerade samt sörja även för andra omständigheter som påverkar kvaliteten på uppgifterna. (18 i lagen om offentlighet i myndigheternas verksamhet, God informationshantering) Den registeransvarige skall genomföra de tekniska och organisatoriska åtgärder som behövs för att skydda personuppgifterna mot obehörig åtkomst och mot förstöring, ändring, utlämnande och översändande som sker av misstag eller i strid med lag eller mot annan olaglig behandling. (32 i personuppgiftslagen, Skydd av uppgifterna) En förteckning över bestämmelser med anknytning till informationssäkerheten finns som bilaga till denna anvisning.

13 11 2 Ärendehantering och hantering av information Ärendehantering innebär styrning av hanteringen av de ärenden och handlingar som ingår i organisationens verksamhetsprocesser under hela deras livscykel. Målet med ärendehanteringen är att effektivera beredningen och hanteringen av ärenden, beslutsfattande, publicering och arkivering samt hanteringen av information av handlingskaraktär. Information av handlingskaraktär är en del av organisationens kapital, varför kvalitetskraven bör tryggas, praxisen vid hanteringen planeras noggrant och dess skydd tryggas. Krav som hör samman med kvaliteten på informationen av handlingskaraktär är tryggandet av dess autenticitet, integritet, konfidentialitet och tillgänglighet. Med information avses information som lagras i olika format, behandlas eller överförs. Information kan t.ex. finnas i en enskild handling, i tal, e-post- eller textmeddelanden, databaser, i minnet på en dator eller mobiltelefon, på ljudeller bildband eller t.o.m. i en enskild människas minne. Informationens hela livscykel bör beaktas. Viktiga skeden av hanteringen ur informationssäkerhetens synvinkel är därför skapande, användning, ändring, lagring, överföring, distribution, kopiering, arkivering och förstöring av informationen. Vid hantering av information bör man notera att den information som hanteras ofta är av betydligt större värde än det tekniska medium som eventuellt hör samman med hanteringen av informationen. 2.1 Information som gäller arbetet Gör klart för dig hur information och handlingar klassificeras och bekanta dig med de regler och begränsningar som gäller användningen, överlåtelsen och hanteringen av dem (VAHTI 5/2006 Asianhallinnan tietoturvallisuutta koskeva ohje, VAHTI 2/2000 Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje, VAHTI 4/2002 Arkaluonteiset kansainväliset tietoaineistot).

14 12 Om du uppgör en sekretessbelagd handling, ansvarar du utgående från dina uppgifter också för dess klassificering och anteckningarna på den. En del av det sekretessbelagda materialet berörs av säkerhetsklassificering. Hantera information omsorgsfullt oberoende av det medium som används för hantering eller lagring. Kom ihåg att du kan använda och hantera sekretessbelagd och känslig information bara inom ramen för dina arbetsuppgifter. Att t.ex. använda information som finns i personregister utanför dess användningsändamål strider mot lag. Observera också att användningen av datasystemen övervakas. Då du hanterar sekretessbelagd information, se till att obehöriga inte kommer åt att se informationen i dina handlingar eller på din dataskärm. Se upp också då du matar in dina lösenord så att ingen kan avläsa dem på basis av dina fingerrörelser. Spara dina arbeten om möjligt på en server, för vars säkerhetskopiering dataadministrationen ansvarar. Undvik situationer där en handling eller annat material skulle finnas bara på en sådan utrustning eller sådant datamedium där säkerhetskopieringen är oregelbunden. Om informationen överförs med en minnessticka eller annat lagringsmedium bör du personligen övervaka överföringen. Var aktsam så att det inte finns annan, okrypterad information på ditt eget datamedium förutom den information som ska överföras. Se upp för dold information, s.k. rest- och metadata, i filer som gjorts med kontorsprogram (t.ex. textbehandling, presentationsgrafik, tabellräkning) särskilt om du skickar filer till mottagare utanför organisationen eller då du överför dem med hjälp av datamedier. Filen kan innehålla information som tidigare funnits där eller någon annan information som finns i systemet, även om detta inte syns på skärmen. Kontrollera en minnessticka, CD-/DVD-skiva eller annat datamedium som kommer utifrån med hjälp av antivirusprogram enligt organisationens anvisningar innan du använder mediet. Om du blir tvungen att sända material som är sekretessbelagt bör du sända det i krypterad form. Försäkra dig om att mottagaren är berättigad till informationen och att försändelsen har kommit fram. Fax kan bara i undantagsfall användas för sändande av sekretessbelagt material. Försäkra dig då om att mottagaren är på plats. Undvik onödiga utskrifter och kopior, eftersom extra kopior, mellanversioner och kasserade exemplar (vid sidan av kostnaderna och miljöpåverkningarna) ökar risken för att informationen kommer i fel händer och ökar behovet av säkerhetsåtgärder för förvaring och förstöring. Försäkra dig om vilken skrivare du använder och var skrivaren finns. Hämta dina utskrifter från en nätskrivare genast då utskriften är klar.

15 13 Använd dokumentförstörare av rätt säkerhetsklass eller uppsamlingskärl som hör samman med dokumentförstöringstjänster då du förstör sekretessbelagd information. 2.2 Intervjuer, förfrågningar, undersökningar och överlåtelse av information Hänvisa begärda intervjuer och förfrågningar till den som ansvarar för dem och handla i enlighet med organisationens informationspolitik. Var uppmärksam så att du inte ger ut information som är sekretessbelagd eller berörs av integritetsskyddet i samband med samtal och blanketter som verkar oförargliga. Hänvisa förfrågningar om överlåtelse av information samt undersökningar till den som ansvarar för materialet. Denna person har i uppgift att försäkra sig om grunderna för överlåtelsen och eventuell ersättning samt besluta om överlåtelse. Om materialet överlåts via datamedium i elektronisk form ska det datamedium som används ovillkorligen vara nytt och oanvänt. 2.3 Privat information och integritet Använd din privata e-postadress (som du själv skaffat, inte arbetsgivarens) för din privata kommunikation. Privata filer bör inte i onödan lagras i mobiltelefon, arbetsstation eller på server som tillhör arbetsgivaren. Alla har tystnadsplikt om andras meddelanden som genom arbetsuppgifterna kommit dem till del av misstag. Stoppa ryktesspridning. Notera att detaljerad logginformation om systemens användning sparas i datasystem och datanät, också e-posttrafiken och surfandet på internet. Informationen används för underhållsfunktioner, felsökning och övervakning av informationssäkerheten. Missbruk kan leda till ingripanden. För mer detaljerade uppgifter se organisationens egna anvisningar.

16 14

17 15 3 På arbetsplatsen 3.1 Användning av dator Användningen av dator omfattar både användningen av din egen arbetsstation och de tjänster som fås via nätet. Som användare ansvarar du för din egen dator. Var alltså noggrann. Bara dataadministrationen får ansluta datautrustning till nätet eller installera och uppdatera program i datorer. Logga alltid in på datorn med ditt eget användarnamn. Förhindra obehörig tillgång till datasystem genom att låsa din dator (på en Windows-arbetsstation med tangenterna Ctrl + Alt + Del och välj Lås datorn) varje gång du avlägsnar dig från ditt arbetsrum. Som extra säkerhet kan du också använda skärmsläckare med lösenord. Följ de anvisningar organisationen gett. Spara ditt arbete med jämna mellanrum. Lämna inte arbetet osparat om du avlägsnar dig från ditt arbetsrum. Spara all viktig information på en sådan nätserver som dataadministrationen säkerhetskopierar regelbundet. Om arbetsstationens hårddisk eller annat lagringsmedium såsom minnessticka eller CD-/DVD-skiva går sönder eller annars tas ur bruk får mediet inte läggas i papperskorgen. Förstör det enligt de anvisningar organisationen har gett eller låt dataadministrationen förstöra det. Logga ut både från programmen och din dator och stäng datorn då arbetsdagen är slut enligt de anvisningar din organisation har gett. 3.2 Användarrättigheter och lösenord För datasystem behövs användarrättigheter. Användarrätten är personlig och hör ihop med just din identitet och arbetsuppgift. Hantera användarnamnet och lösenordet på samma sätt som du hanterar ditt bankkort och din PINkod.

18 16 Överlåt inte ditt personliga användarnamn, lösenord, ditt smartkort eller dina PIN-koder till en annan person inte ens till dataadministrationen. Ställ dig kritisk till alla förfrågningar gällande dina lösenord eller användarnamn. Byt lösenorden tillräckligt ofta och genast om du misstänker att någon fått reda på dem. Skapa tillräckligt invecklade lösenord och undvik att välja alldagliga ord som lösenord. I ett bra lösenord kan det finnas små och stora bokstäver, siffror och t.o.m. specialtecken. I alla system kan man dock inte använda specialtecken. Ett bra lösenord är lätt att minnas, men svårt för en utomstående att gissa. Skriv inte upp lösenord åtminstone inte på en sådan plats där de lätt kan hittas. Använd inte de användarnamn och lösenord du fått av organisationen då du registrerar dig för tjänster på internet. Om man i någon situation eller i något system blir tvungen att använda gemensamma användarnamn bestämmer systemets eller informationens ägare om detta. Lösenordet till ett gemensamt användarnamn måste bytas alltid då någon användares rättighet upphör eller då man misstänker att någon obehörig har fått vetskap om det. Lösenordet bör bytas tillräckligt ofta också i övrigt. 3.3 Internet och e-post Internet och e-post är goda arbetsredskap för både informationssökning och kommunikation. Man måste dock komma ihåg att e-post och internet i sig själva inte är skyddade, utan informationen överförs i okrypterad form. E-post och internet kräver alltså att användaren är noggrann. Internet och e-post på arbetsplatsen är avsedda för användning inom ramen för arbetet. Använd din privata e-postadress för privat kommunikation. Använd bara sådana tjänster som du vet är seriösa. Det är inte tillåtet att förmedla sekretessbelagd information över internet utan tillbörlig stark kryptering. Sådana meddelanden och bilagor bör krypteras med produkter som dataadministrationen godkänner. Lär dig att använda krypteringsprodukterna rätt, så att informationen inte av misstag överförs okrypterad. Det kan vara helt förbjudet inom din organisation att ladda ner program via internet. Då installerar dataadministrationen alla de program som behövs. Om du laddar ner program enligt organisationens anvisningar och för dina

19 17 arbetsuppgifter, sträva alltid efter att försäkra dig om programmets och källans tillförlitlighet. Om du använder offentliga arbetsstationer eller tillfälligt använder en dator som någon annan innehar, kom ihåg att rensa webbläsarens cacheminne och kakor (cookies). Be vid behov dataadministrationen om hjälp. Kom ihåg att myndigheten är skyldig att behandla arbetsrelaterad e-post. Arbetsrelaterad e-post får hanteras bara via utrustning som administreras av den egna organisationen eller eventuellt av någon annan organisation inom den offentliga förvaltningen. Arbetsrelaterad e-post tas emot och dirigeras till den egna organisationens e-postsystem. Den får inte dirigeras eller skickas vidare någonstans utanför organisationens e-postsystem. Hänvisa de kunder som tar kontakt på elektronisk väg att skicka ärenden som ska behandlas och är under arbete till den e-postadress som organisationen fastställt. Kom ihåg att du ansvarar för arbetsrelaterad post som kommer till din personliga e-post enligt din tjänsteplikt. Användningen av annat än arbetsgivarens e-postsystem (t.ex. e-post som upprätthålls genom gratisprogram på internet eller din e-post hemma) är tillåten endast med organisationens tillstånd. Försäkra dig om att de skyldigheter som hänger samman med hanteringen av din e-post följs i enlighet med dina tjänsteuppgifter, också då du är frånvarande. Bilagor som kommer med e-post kan innehålla sabotageprogram (virus, maskar eller trojaner). Se upp med ovanlig e-post och framför allt bilagor. Öppna inte meddelanden som verkar suspekta utan följ anvisningarna. Vid behov kan du rapportera saken till dataadministrationen. Skräppost kan vara t.ex. reklam som kommit till e-postadressen utan att man beställt den. Det lönar sig inte att svara på skräppost utan man bör förstöra den genast. Om man svarar på meddelandet vet den som sänt skräpposten att din adress fungerar och fortsätter att skicka skräppost. Dessutom förmedlas din adress även till andra som skickar skräppost. Ge inte din e-postadress till arbetet till utomstående annat än vid kontakter som har med arbetet att göra. Var sunt misstänksam mot tillförlitligheten hos ett e-postmeddelande. Meddelandet kan komma från någon annan än den som syns i avsändarens adressfält. Akta dig för meddelanden där man ber dig mata in användarnamn och lösenord till tjänster som förefaller äkta (s.k. phishing, nätfiske). Förmedla inte kedjebrev.

20 18 Om du får e-post som är avsedd för någon annan, skicka den till den rätta mottagaren och meddela avsändaren den rätta e-postadressen. Om den rätta adressen inte är känd, meddela avsändaren om den felaktiga försändelsen. Kom ihåg att du har tystnadsplikt i fråga om det meddelande du fått. Sändlistan är en personförteckning, som kommer varje mottagare till kännedom. Den kan vara en personregisteruppgift eller en sekretessbelagd uppgift, om vars överlåtelse det finns skilda bestämmelser. Du kan använda dold kopia om du vill förhindra att namnen i sändlistan syns hos mottagarna. Försäkra dig om att det e-postmeddelande du skickar är riktat till rätt personer och rätt adresser också då du använder färdiga sändlistor. Undvik att skicka onödiga meddelanden. T.ex. julhälsningar belastar både e-postsystemet och mottagarens e-postlåda. Då arbetsförhållandet upphör avlägsnas e-postadressen och e-postlådan. Överför din tjänstepost till arbetsgivaren och avlägsna eventuella privata meddelanden. 3.4 Säkerheten i lokaliteterna Genom lokalitetssäkerheten säkerställs att information, handlingar och dataapparatur förvaras och hanteras på behörigt sätt i säkra lokaliteter. Lokalitetssäkerheten innefattar bl.a. passerkontroll, teknisk övervakning och bevakning, avvärjande av brand-, vatten-, el-, ventilations- och inbrottsskador samt säkerheten för kurirförsändelser och försändelser som innehåller datamaterial. Rikta datorns skärm med eftertanke vid kundbetjäning och överväg om avsikten är att kunden ser informationen. Följ de anvisningar som getts om passerkontroll. Använd ditt personkort som är försett med foto (om du fått ett sådant) i organisationens lokaliteter. Kontrollera då du kommer till ditt arbetsrum att inget otillbörligt har hänt under din frånvaro. Varje gäst bör ha en värd. Värden svarar för sina gästers vistelse i lokaliteterna. Sträva efter att använda mötesrum vid besök. Se till att det inte finns obehörigt material i mötesrummen. Kontrollera på motsvarande sätt att sekretessbelagt material eller anteckningar inte blir kvar på bord, tavlor, i papperskorgar eller någon annanstans efter möten.

21 19 Förvara information och apparatur i säkerhet, om möjligt i låst skåp och rum. Lämna inte en bärbar dator eller mobiltelefon obevakad. Förvara apparaturen i låst utrymme. Förvara också minnesstickor, CD-/DVDskivor, utskrifter etc. på tillbörligt sätt. Följ principen rent bord. På arbetsbordet får man inte förvara sekretessbelagd information. Lämna inte någon gäst ensam eller obevakad i ditt arbetsrum eller andra lokaliteter. Det kan vara förbjudet att fotografera i organisationens lokaliteter. Följ de anvisningar organisationen gett. Övervaka också dina gästers agerande och t.ex. användningen av kameratelefoner. Lås dörren till ditt arbetsrum då arbetsdagen är slut eller då du avlägsnar dig från arbetsrummet för en längre tid. Vägled gäster eller vilsegångna personer till rätt plats. Släpp inte in obehöriga i lokaliteterna t.ex. då du lämnar din arbetsplats. Lämna inte sådana dörrar öppna som är försedda med passerkontroll eller andra dörrar som är avsedda att hållas stängda.

22 20

23 21 4 Mobilt arbete, distansarbete och researbete 4.1 Mobilt arbete och mobilutrustning Många av de hjälpmedel som används för rörligt arbete kan till sina egenskaper och sitt innehåll motsvara arbetsstationerna på arbetsplatsen. Hjälpmedlen är inte längre enbart t.ex. telefoner. De hjälpmedel som används vid rörligt arbete och användningen av dem är förknippade med samma hot som för fastmonterade hjälpmedel, varför samma säkerhetsanvisningar kan tillämpas till en del. Då hjälpmedlen dessutom transporteras och används utom ramen för de säkerhetsåtgärder som lokaliteterna på arbetsplatsen erbjuder behöver särskild noggrannhet iakttas. Trygga säkerheten hos de bärbara datorer, mobiltelefoner, smarttelefoner och handdatorer du använder i arbetet. Förvara inte onödig information i dem. Bekanta dig med utrustningen och bruksanvisningarna för de program som finns i den samt dess säkerhetsegenskaper (bl.a. PIN-förfrågningar, Bluetooth-inställningar, laddning av applikationer). Se till att PIN-förfrågan är påkopplad i din mobiltelefon. Byt ut de PINkoder som tillverkaren eller tjänsteleverantören har gett. Du bör inte ladda ner och installera sådant på utrustningen som inte hör till arbetet. Kryptera informationen om möjligt. Säkerhetskopiera informationen och/eller synkronisera den vid behov med det övriga datasystemet enligt organisationens anvisningar.

24 Distansarbete och distansanvändning Med distansarbete avses arbete som utförs någon annanstans än i organisationens ordinarie lokaliteter. Ett typiskt distansarbete är kontorsarbete som utförs hemma. Distansarbete kan också utföras på annan ordinarie plats (t.ex. en distansarbetsplats som ordnats av organisationen) eller på resa (t.ex. på hotell eller i annan organisations lokaliteter), varvid användningsmiljön varierar och dess säkerhet inte kan påverkas i någon större utsträckning. Den distansarbetande personens egna åtgärder och förfaringssätt är av stor betydelse. Distansförbindelsen är en extern datatrafikförbindelse till organisationens interna nät. Distansanvändningen är användning av datatekniska tjänster med hjälp av distansförbindelse. I och med att trådlösa nätförbindelser blir vanliga måste distansarbetaren allt oftare självständigt kunna bedöma distansarbetsmiljöns säkerhet. Fäst alltid din uppmärksamhet vid att dina förfaringssätt är säkra. Särskilt viktigt är det då du arbetar utanför dina ordinarie kontorslokaler. Vid distansarbete bör du i tillämpliga delar följa samma säkerhetsprinciper som då du befinner dig i organisationens egentliga lokaliteter. Distansarbete är tillåtet bara om ett särskilt avtal har uppgjorts. Kontrollera organisationens anvisningar om distansanvändning. Kom ihåg att allt arbete som görs inom organisationen inte kan utföras som distansarbete på grund av informationssäkerheten. Identifiera sådana arbeten. Det kan vara förbjudet eller omöjligt att använda vissa system på distans. Som regel sköter arbetsgivaren anskaffning och installation av den utrustning, de program och dataförbindelser som krävs vid distansarbete. Se till att den apparatur, de program, dataförbindelser och pappersmaterial du använder är och förblir endast i din användning. Se till att de användarnamn, lösenord, eventuella smartkort och annan verifikationsutrustning du använder är bara i din användning och att bara du känner till dem. Använd överenskomna skyddsprogram och försäkra dig om att de är uppdaterade. Ha med dig bara den mängd datamaterial du behöver och försäkra dig om att det skyddats på tillbörligt sätt. I hanteringen av handlingar ska samma principer följas som normalt och de särskilda riskerna med distansarbete noteras. Distansarbetet bör begränsas till material som inte äventyrar informationssäkerheten om det kommer till någon utomståendes kännedom. Också vid distansarbete bör materialets klassificering och användningsreglerna för det följas samt begränsningarna för dess överlåtelse, användning och behandling iakttas.

25 23 Se till att ditt datamaterial säkerhetskopieras och att det förvaras och förstörs på ett säkert sätt. 4.3 På hemdatorn Om du har en egen dator och internetanslutning är det viktigt att sörja för informationssäkerheten. Be med jämna mellanrum en IT-expert kontrollera att din arbetsstation är säker. Skapa egna användarnamn för alla användare, med endast normala användarrättigheter. Använd administratörsidentiteten (t.ex. Systemövervakare, Administrator) bara för underhållsåtgärder. Installera bara officiella program som är uppdaterade. Kontrollera att operativsystemet och övriga systemprogram uppdateras automatiskt. Använd något känt antivirusprogram (innehåller bl.a. virusskydd, brandvägg, verktyg mot spionprogram, skräppostfilter) och kontrollera att det uppdateras automatiskt. Öppna inga suspekta e-postmeddelanden och e-postbilagor. Ta regelbundet säkerhetskopior och öva att ta dem i bruk. Då du kopplar upp dig på internet, för att t.ex. göra inköp, använd bara tillförlitliga tjänster och leverantörer. Ge inte ut mer personlig information än nödvändigt. Ge ingen information alls om arbetsgivaren. Stäng datorn och bryt uppkopplingen till internet då du inte använder den. 4.4 Researbete Undvik att diskutera konfidentiella arbetsärenden på offentliga platser och i kollektiva färdmedel. Om du arbetar i kollektiva färdmedel försäkra dig om att medpassagerarna inte kan se den information och de handlingar du hanterar. Akta dig också för att trådlösa förbindelser inte aktiveras oavsiktligt i din dator. Förvara information och utrustning i säkerhet. Lämna inte en bärbar dator eller en mobiltelefon utan bevakning. Förvara utrustningen på ett låst ställe. Kom också ihåg att förvara datamedier, pappersutskrifter etc. på

26 24 tillbörligt sätt. Bärbara datorer och mobiltelefoner får inte lämnas i bilen på synlig plats, och får inte förvaras i bilen över natten. Undvik att använda offentliga datorer (t.ex. Internet-caféer, bibliotek) för dina arbetsuppgifter. Du kan inte påverka vilken information om din användning som samlas upp och vad den används till. Vanligen har du inte ens möjlighet att radera denna information från datorn.

27 25 5 Problemsituationer 5.1 Anmälningsplikt och förfarande vid problemsituationer Om utrustning, passerkort, id eller motsvarande försvinner eller blir föremål för stöld ska du genast meddela detta till ifrågavarande ansvarsperson för att begränsa ditt eget ansvar. Meddela alltid om sabotageprogram (t.ex. virus, maskar eller trojaner) och andra problem i anslutning till informationssäkerheten till den informationssäkerhetsansvariga, dataadministrationen eller till din egen chef. Meddela också alltid om andra misstankar, skyddsbrister eller problem gällande säkerheten till säkerhetsansvariga eller din egen chef. 5.2 Om du misstänker att datasekretessen kränkts eller att din dator blivit smittad av sabotageprogram Gör inte något förhastat. Datorn behöver inte stängas, men lösgör nätkabeln. Skriv upp det som stod i det meddelande eller den varning du eventuellt fick. Skriv upp vad du gjorde och notera den förlorade arbetstiden för ett eventuellt krav på ersättning. Ta kontakt med dataadministrationen och/eller den informationssäkerhetsansvariga. Hjälp till med utredningen. Berätta vad du höll på med då datorn började bete sig på oväntat sätt. Följ de anvisningar du får.

28 Påföljder För brott mot lagar, bestämmelser och anvisningar kan användarrätten till datasystemen dras in. Förseelser ska alltid meddelas chefen. I allvarliga fall kan missbruk även leda till skadeståndskrav och brottsrättsliga påföljder. En påföljd kan också vara att man blir uppsagd eller att tjänsteförhållandet upplöses.

29 27 6 Var får man ytterligare information? Ytterligare information om informationssäkerhet får man bl.a. i följande källor: Den informationssäkerhetsansvariga, dataadministrationen, den säkerhetsansvariga, chefen Organisationens egna anvisningar Lagstiftningen. Statens författningsdata ( Organisationer som ger anvisningar om och som reglerar informationssäkerheten, t.ex. Finansministeriets VAHTI-anvisningar ( Arkivverkets anvisningar ( Anvisningar från Dataombudsmannens byrå ( Anvisningar från Utvecklingscentralen för informationssamhälle rf ( Kommunikationsverkets anvisningar ( Den offentliga förvaltningens och näringslivets gemensamma anvisningar (

30 28

31 29 Bilaga 1: Lagstiftning med nära anknytning till informationssäkerheten Vid sidan av de bestämmelser om sekretess som ingår i olika lagar är följande lagar de viktigaste: Finlands grundlag (731/1999) 2 kap. 10 : Skydd för privatlivet och hemligheten i fråga om förtroliga meddelanden Finlands grundlag (731/1999) 2 kap. 12 : Handlingar och upptagningar som innehas av myndigheterna Lag om offentlighet i myndigheternas verksamhet (621/1999) Förordningen om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999) Statstjänstemannalagen (750/1994) 17 : Författning om tjänsteförhållande till staten. Lagen om kommunala tjänsteinnehavare (304/2003) Arbetsavtalslagen (55/2001) Statsrådets principbeslut om informationssäkerheten inom statsförvaltningen (VM0024:00/02/99/1998) Arkivlagen (831/1994): Framställning, förvaring och användning av handlingar Lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004): Internationella handlingar av känslig natur Personuppgiftslagen (523/1999): Allmänna principer för behandling av personuppgifter Lagen om säkerhetsutredningar (177/2002): Personers bakgrund Lagen om integritetsskydd i arbetslivet (759/2004): Behandling av arbetstagares personuppgifter Lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003): Datasäkerheten vid uträttande av ärenden och informationsutbytet mellan myndigheterna Lagen om elektroniska signaturer (14/2003) Lag om dataskydd vid elektronisk kommunikation (516/2004): Konfidentialitet och integritetsskydd vid elektronisk kommunikation

32 30 Strafflagen (39/1889) 34 kap. 9a : Orsakande av fara för informationsbehandling Strafflagen (39/1889) 38 kap. 8 : Dataintrång Strafflagen (39/1889) 38 kap. 9 1 mom.: Brott mot bestämmelse om behandling av personuppgifter Personuppgiftslagen (523/1999) 48 : Personregisterbrott Skadeståndslagen (41/1974) Uppdaterade lagtexter finns bl.a. i Statens författningsdata på sidan www. finlex.fi

33 31 Bilaga 2: Vahti-publikationer som är i kraft Informationssäkerhetsanvisning för personalen, VAHTI 7/2008 Tietoturvallisuus on asenne! Selvitys julkishallinnon tietoturvakoulutustarpeista, VAHTI 6/2008 Valtion ympärivuorokautisen tietoturvavalvonnan hanke-esitys, VAHTI 5/2008 Valtionhallinnon tietoturva-arviointipoolin toimintaraportti, VAHTI 4/2008 Valtionhallinnon salauskäytäntöjen tietoturvaohje, VAHTI 3/2008 Tärkein tekijä on ihminen henkilöstöturvallisuus osana tietoturvallisuutta, VAHTI 2/2008 VAHTIn toimintakertomus vuodelta 2007, VAHTI 1/2008 Tietoturvallisuudella tuloksia valtionhallinnon tietoturvallisuuden yleisohje, VAHTI 3/2007 Äypuhelimien tietoturvallisuus hyvät käytännöt, VAHTI 2/2007 Osallistumisesta vaikuttamiseen - valtionhallinnon haasteet kansainvälisessä tietoturvatyössä, VAHTI 1/2007 Tunnistaminen julkishallinnon verkkopalveluissa, VAHTI 12/2006 Tietoturvakouluttajan opas, VAHTI 11/2006 Henkilöstön tietoturvaohje, VAHTI 10/2006 Käyttövaltuushallinnon periaatteet ja hyvät käytännöt, VAHTI 9/2006 Tietoturvallisuuden arviointi valtionhallinnossa, VAHTI 8/2006 Muutos ja tietoturvallisuus - alueellistamisesta ulkoistamiseen - hallittu prosessi, VAHTI 7/2006 Tietoturvatavoitteiden asettaminen ja mittaaminen, VAHTI 6/2006 Asianhallinnan tietoturvallisuutta koskeva ohje, VAHTI 5/2006 Electronic Mail-handling Instructions for State Government, VAHTI 2/2006 Tietoturvapoikkeamatilanteiden hallinta, VAHTI 3/2005 Valtionhallinnon sähköpostien käsittelyohje, VAHTI 2/2005 Information Security and management by Results, VAHTI 1/2005 Valtionhallinnon keskeisten tietojärjestelmien turvaaminen, VAHTI 5/2004 Datasäkerhet och resultatstyrning, VAHTI 4/2004 Haittaohjelmilta suojautumisen yleisohje, VAHTI 3/2004 Tietoturvallisuus ja tulosohjaus, VAHTI 2/2004 Valtionhallinnon tietoturvallisuuden kehitysohjelma , VAHTI 1/2004

34 32 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa, VAHTI 7/2003 Valtionhallinnon tietoturvakäsitteistö, VAHTI 4/2003 Tietoturvallisuuden hallintajärjestelmän arviointisuositus, VAHTI 3/2003 Turvallinen etäkäyttö turvattomista verkoista, VAHTI 2/2003 Valtion tietohallinnon Internet-tietoturvallisuusohje, VAHTI 1/2003 Arkaluonteiset kansainväliset tietoaineistot, VAHTI 4/2002 Valtionhallinnon etätyön tietoturvallisuusohje, VAHTI 3/2002 Tietoteknisten laitetilojen turvallisuussuositus, VAHTI 1/2002 Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslista, VAHTI 6/2001 Sähköisten palveluiden ja asioinnin tietoturvallisuuden yleisohje, VAHTI 4/2001 Valtionhallinnon lähiverkkojen tietoturvallisuussuositus, VAHTI 2/2001 Valtionhallinnon tietojärjestelmäkehityksen tietoturvallisuussuositus, VAHTI 3/2000 Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje, VAHTI 2/2000 Anvisningarna revideras och kompletteras och finns på VAHTI-ledningsgruppens webbsida ( och kan också beställas hos förlaget Edita.

35

36 FINANSMINISTERIET Snellmansgatan 1 A PB 28, Statsrådet Telefon (09) Telefax (09) /2008 VAHTI November 2008 ISSN ISBN (nid) ISBN (pdf)