OSAO

FI EN
Tulosta
Suomeksi / In English
Etusivu / OSAO / OSAOlaiselle / IT-ohjeita / Tietokonejärjestelmien ylläpitohenkilöstön toimintasäännöt

Tietokonejärjestelmien ylläpitohenkilöstön toimintasäännöt

(Pohja: Ylläpitosääntötyöryhmän työn tuotos Tampereella 31.1.2000)

1. Ylläpitäjien nimeäminen
2. Ylläpitosääntö
2.1 Vaitiolovelvollisuus
2.2 Salasanat
2.3 Yksityisyyden suojan kunnioittaminen
2.4 Sähköpostin käsittely
2.5 Muiden tiedostojen käsittely
2.6 Hakemistojen ja tiedostolistausten seuranta
2.7 Ohjelmien, prosessien ja liikennöinnin seuranta
2.8 Lokitietojen käsittely
2.9 Verkon kuormituksen seuranta ja mahdollinen liikenteen rajoittaminen

1. Ylläpitäjien nimeäminen

Tietokonejärjestelmien ylläpito-oikeus on järjestelmien haltijoiden ylläpitotehtäviin nimeämillä henkilöillä.

Kun väärinkäytöksiä havaitaan, päätöksen jatko- ja suojatoimenpiteiden laajuudesta tekee järjestelmän pääkäyttäjä/ylläpitäjä kuntayhtymän tietoturvavastaavan avustamana.

2. Ylläpitosääntö

Ylläpitohenkilöstöllä on järjestelmien pääkäyttäjinä mahdollisuus "täysiin oikeuksiin", eli ylläpitäjä pystyy suojauksia murtamatta lukemaan minkä tahansa tiedoston sisällön, käynnistämään tai lopettamaan minkä tahansa ohjelman ja seuraamaan kaikkia käynnissä olevia prosesseja ja liikennöintiä. Koska ylläpitäjän tekniset oikeudet ylläpitämässään ympäristössä ovat käytännössä rajattomat, ne ovat periaatteellisessa ristiriidassa käyttäjien perusoikeuksien ja yksityisyyden suojan kanssa.

Tämän vuoksi jokainen ylläpitäjä on velvollinen noudattamaan tätä toimintaohjetta, jossa määritellään hyvä ylläpitohenkilöstön toimintatapa.

2.1 Vaitiolovelvollisuus

Ylläpitäjä ei paljasta sivullisille mitään asemansa vuoksi tietoonsa saamiaan asioita. Ylläpitäjä ei käytä näin saamiaan tietoja työtehtäväänsä kuulumattomiin tarkoituksiin. Erityisesti ylläpitäjä sitoutuu olemaan paljastamatta kenellekään tehtävänsä ja asemansa vuoksi tietoonsa saamiaan muiden käyttäjien yksityisasioita. (Virkasalaisuuden rikkominen, RL 40 luku 5 §).

2.2 Salasanat

Ylläpitäjän ei tehtäviensä hoitamiseksi tarvitse tietää käyttäjän salasanaa eikä hänen tule sitä käyttäjältä tiedustella.

2.3 Yksityisyyden suojan kunnioittaminen

Tietojärjestelmien hoitamisessa otetaan huomioon kansalaisten oikeus yksityisyyteen ja viestintäsalaisuuteen. Kuntayhtymä kuitenkin pidättää itsellään oikeuden määrätä, minkälaista materiaalia ja mihin tarkoitukseen sen hallinnoimissa tietojärjestelmissä saa tallentaa. Sama koskee kuntayhtymän hallinnoimassa tietoliikenneverkossa tapahtuvaa tietoliikennettä.

2.4 Sähköpostin käsittely

Lähtökohtana on, että yksittäisen käyttäjän henkilökohtaisen sähköpostin ja muun televerkossa välitettävänä olevan sähköisen viestin salaisuus on loukkaamaton. Valtion tietohallinnon Internet-tietoturvallisuusohjeistuksen mukaisesti tavallinen sähköposti on käytännössä rinnastettava postikorttiin nauttimansa viestintäsalaisuuden osalta, koska se kulkee salaamattomana verkossa ja postipalvelimissa. Suomen perustuslaissa todetaan, että kirjeen, puhelimen ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Sähköposti on luottamuksellinen, ellei sitä ole tarkoitettu yleisesti vastaanotettavaksi. Se, joka on ottanut vastaan tai muutoin saanut tiedon luottamuksellisesta sähköpostista, jota ei ole hänelle tarkoitettu, ei saa paljastaa viestin sisältöä eikä käyttää saamaansa tietoa viestin sisällöstä tai olemassaolosta hyväkseen.

Luottamuksellisia viestejä ei ole koskaan oikeus ilman sopimusta lukea. Koska luottamuksellisia viestejä on vaikeaa erottaa muista viesteistä, lähtökohtana on, että toisen henkilön sähköpostiviestejä ei saa lukea ilman tämän henkilön nimenomaista suostumusta.

Käyttäjien sähköpostilaatikoihin voidaan mennä vain seuraavissa tilanteissa:

  • henkilön (käyttäjän) nimenomaisen suostumuksen nojalla (yksittäisen sähköpostilaatikon avaaminen voi olla tarpeen esimerkiksi kun sähköpostitiedosto estää postipalvelimen toiminnan eikä ole siirrettävissä koskemattomana muualle
    häiriötilanteen poistamiseksi),
  • erilaisissa häiriötilanteissa sähköpostin käyttäjän pyynnöstä sähköpostiin liittyvän ongelmatilanteen selvittämiseksi. Tällöin pääkäyttäjä voi avata sähköpostitiedoston selvittääkseen, onko sen sisältämissä tiedoissa virheitä, jotka estävät sähköpostin normaalin käsittelyn tai lukemisen. Tällainen toimenpide tehdään vain käyttäjän luvalla.
  • postijärjestelmässä välitettävänä oleva viesti saattaa olla tarpeen (ainakin osittain) avata sellaisessa tilanteessa, jolloin postijärjestelmä ei kykene sitä toimittamaan eteenpäin puutteellisen tai vaurioituneen rakenteen tai sisällön vuoksi. Tällöin pääkäyttäjän tulee olla tutustumatta viestin sisältöön. Lähettäjän tai vastaanottajan osoite tai henkilöllisyys tai muu välitystieto saattaa kuitenkin olla tarpeen tarkistaa tilanteen korjaamiseksi.

Postijärjestelmästä voidaan pakata ja siirtää saapuvan postin laatikoita (Inboxeja, Inbox = tiedosto, johon käyttäjätunnukselle tarkoitettu saapuva sähköposti tallennetaan käyttäjän luettavaksi) ja muita postitiedostoja, jotka
suuren kokonsa tai muun ominaisuutensa vuoksi haittaavat postijärjestelmän toimintaa. Saapuvan postin laatikot pakataan ja siirretään kokonaisina eikä niitä lueta. Ylläpitäjä pitää siirretyn tiedoston tallessa ja käyttäjän kanssa sopii erikseen, mitä kokonaisina siirretyille tiedostoille tehdään.

Massapostitusten eli spammien osalta on huomattava, että tällaisten viestien käsitteleminen on useissa tapauksissa haitallista järjestelmän toimintakyvylle. Massapostituksilta suojaudutaan tarpeellisin keinoin, esimerkiksi postipalvelimessa voidaan kieltäytyä ottamasta vastaan tiettyjen palvelimien lähettämiä tai tietyt muut tunnusmerkit täyttäviä sähköposteja. Vastaanottamisesta kieltäytyminen voi olla tarpeen käyttäjien ja järjestelmien suojaamiseksi, vaikka silloin rajoitetaan käyttäjien oikeutta vapaaseen sähköpostiliikenteeseen. Sähköpostin mahdolllisessa rajoittamisessa pyritään mahdollisimman tarkkaan noudattamaan valtionhallinnon ohjeistuksia.

Mikäli halutaan varmistua siitä, ettei viestiä pääse kukaan sivullinen lukemaan, se voidaan salakirjoittaa esim. PGP:llä. Tällöin tilanne on ylläpidonkin osalta selkeä, eli viestin välittämiseen ja ongelmatilanteiden selvittämiseen tarvittavat tiedot löytyvät viestin otsikkotietueista ilman, että viesti paljastuu ylläpitohenkilöstölle. (Vrt. suljettu kirjekuori, jonka vastaanottaja- ja lähettäjätiedot ovat kuoressa, mutta kirjeen sisältö ei näy.)

Kun sähköpostiviesti on vastaanotettu ja siirretty pois saapuvan postin laatikosta, se siirtyy nauttimaan samaa suojaa kuin muutkin käyttäjätunnuksen omistamat tavalliset tiedostot. (Tässä yhteydessä on huomioitava mm. automaattiset procmail-skriptit: Jos käyttäjä on määritellyt tunnukselleen automaattisia postinkäsittelyskriptejä, hänen katsotaan välillisesti käsitelleen hänelle osoitetut viestit, eivätkä ne enää nauti välitettävänä olevan viestin suojaa.)

2.5 Muiden tiedostojen käsittely

Ylläpitäjällä ei ole yleistä oikeutta lukea tai muuten käsitellä toisten käyttäjien omistuksessa olevien tiedostojen sisältöä, jos niiden suojaus ei sitä muutenkin salli.

Ylläpitäjällä on kuitenkin oikeus käsitellä tiedostoja esimerkiksi, jos

  • käyttäjä on siihen nimenomaisesti luvan antanut tai mikäli käyttäjä on pyytänyt ylläpitäjää selvittämään ongelmatilanteen, jonka selvittäminen vaatii käyttäjän omistamien tiedostojen tai niiden osien lukemista tai korjaamista ja käyttäjän voidaan perustellusti olettaa tämän ymmärtäneen.
  • on perusteltu syy epäillä, että käyttäjätunnus on joutunut vääriin käsiin ja että sen omistuksessa on tiedostoja tai ohjelmia, jotka aiheuttavat vaaraa tai uhkaa järjestelmän toimintakyvylle tai turvallisuudelle. Tällaisessa tilanteessa pyritään aina ensin saamaan yhteys käyttäjätunnuksen haltijaan, mutta jos tilanne on välittömän uhkaava, voi olla tarpeen ryhtyä toimenpiteisiin jo ennenkuin käyttäjään on saatu yhteys.
  • on perusteltu syy epäillä, että käyttäjätunnuksen haltija itse on syyllistynyt väärinkäytökseen ja voidaan olettaa, että tietyissä käyttäjän omistamissa tiedostoissa on todisteita väärinkäytöksestä. Tällöin ylläpitäjän on ilmoitettava epäilyksestään ja niiden perusteluista muille saman järjestelmän ylläpitäjille sekä yhtymän tietoturvavastaavalle.
  • käyttäjätunnus omistaa ohjelmia, skriptejä tai alustustiedostoja, jotka aiheuttavat vakavia häiriöitä järjestelmän toiminnalle. Tällöin ylläpitäjä voi tarkistaa ko. tiedoston sisällön ja estää sen toiminnan, mikäli tarve vaatii. Tällaisesta toimenpiteestä on ilmoitettava muille saman järjestelmän ylläpitäjille ja tiedoston omistajalle.

Käyttäjien kotihakemistot sisältävät joukon alustustiedostoja, joilla ohjataan erilaisten ohjelmien toimintaa (esim. .bashrc). Tällaisiin tiedostoihin saatetaan joutua tekemään muutoksia osana normaalia ylläpitotoimintaa. Tällöin vanha versio nimetään uudestaan, jos käyttäjä on itse tehnyt siihen aiemmin muutoksia. Lisäksi joidenkin ohjelmien alustustiedostoja luetaan (automaattisesti) ylläpidon toimesta osana normaalia turvallisuustyötä.

Järjestelmän tilapäistiedostojen hakemistossa ja käyttäjän kotihakemistossa olevia tilapäistiedostoja voidaan poistaa osana normaalia levytilan ylläpitoa.

2.6 Hakemistojen ja tiedostolistausten seuranta

Ylläpitäjä ei voi normaalissa ylläpitotoiminnassaan kokonaan välttää käyttäjien omistamien hakemistojen tiedostolistausten ottamista ja näkemistä. Hakemistorakenteiden, tiedostojen nimien, muutospäivämäärien, koon ja suojaustason sekä muiden tiedostoa koskevien tietojen käsittely on osa normaalia ylläpitotoimintaa.

Mikäli havaitaan, että jonkin tiedoston tai hakemiston suojaukset ovat sen luonteeseen nähden liian heikot, ylläpidolla on oikeus muuttaa suojaustason tarpeelliselle tasolle.

2.7 Ohjelmien, prosessien ja liikennöinnin seuranta

Ylläpito seuraa atk-järjestelmissä ajettavia ohjelmia osana normaalia ylläpitotoimintaa. Mikäli jonkin prosessin havaitaan aiheuttavan ongelmia tai liiallista kuormitusta muulle järjestelmälle, se voidaan lopettaa ylläpitäjän oikeuksin. Samoin tehdään prosesseille, jotka havaitaan ylläpidon antamien ohjeiden ja määräysten vastaisiksi. Tällaisesta toimenpiteestä pyritään ilmoittamaan omistajalle.

Mikäli verkkoliikenteessä havaitaan häiriö tai huomattavaa kuormitusta, joka haittaa tietoliikenneverkon toimintakykyä, liikenne voidaan estää ylläpidon toimesta.

2.8 Lokitietojen käsittely

Suuri osa atk-järjestelmistä tallentaa erilaisia lokeja käyttäjien toimenpiteistä ja käynneistä järjestelmässä. Tällaiset lokit ovat välttämättömiä, kun selvitetään virhetilanteita tai väärinkäytöksiä. Useimmat lokitiedostot ovat suojattu ulkopuolisilta niin että vain ylläpitäjä voi niitä tarkastella, mutta monet keskuskoneiden oheispalvelut (kuten finger- ja last- komennot) näyttävät tietoja käyttäjätunnuksista muillekin käyttäjille kuin ylläpitäjälle.

Ylläpitohenkilöstö käyttää lukuisia lokitiedostoja jatkuvasti osana normaalia ylläpitotyötä. Lokien seuranta on prosessi- ja laiteorientoitunutta, eikä normaalitilanteissa seurata yksittäisten käyttäjien toimintaa. Yksityiskohtaiset lokitiedot käsitellään luottamuksellisina eikä niistä paljasteta mitään tietoja kenellekään, jolle ne eivät virka-aseman vuoksi kuulu. Tästä on kaksi poikkeusta:

  • Mikäli poliisiviranomainen esittää pyynnön lokitietojen luovuttamiseksi, ne luovutetaan siinä laajuudessa kuin pakkokeinolain mukaiset poliisin valtuudet tai oikeuden määräys edellyttävät. Luovutus kirjataan.
  • Kun torjutaan murtautujia tai pyritään suojautumaan tietomurtoa tai muuta luvatonta käyttöä yrittäviltä, voidaan (ja on yleensä tarpeen) toimia yhteistyössä muiden järjestelmien ylläpitäjien tai palveluntarjoajien kanssa murtautujan alkuperän selvittämiseksi tai eristämiseksi. Tällöin voi olla tarpeen luovuttaa myös yksittäiseen käyttäjätunnukseen liittyviä tietoja. Tietojen luovuttaminen rajoittuu aina sellaisiin käyttäjätunnuksiin, joiden voidaan perustellusti olettaa joutuneen vääriin käsiin tai jonka haltijan voidaan olettaa itse syyllistyneen käsiteltävänä olevaan rikokseen.

2.9 Verkon kuormituksen seuranta ja mahdollinen liikenteen rajoittaminen

Kuntayhtymä/ammattikorkeakoulu tarjoavat tietojärjestelmäpalveluita ja verkkoyhteyden käyttäjäkunnalleen pääsääntöisesti maksutta. Kuntayhtymä/amk kuitenkin maksavat itse huomattavan summan oman laitteistonsa hankkimisesta ja ylläpidosta sekä verkkoyhteydestä ulkopuolelle. Koska kapasiteetti on rajallinen, täytyy sen käyttöä voida seurata, jotta mahdollinen tarpeeton kuormittaminen saadaan rajoitettua tai ohjattua järkevämmin.

Normaali kuormituksen seuranta tarkkaillee vain siirretyn tiedon määrää, ei sisältöä. Kuormituksen seuranta on normaalisti ainoastaan konesidonnaista, eli käyttäjätietoja ei sellaisenaan näy. Kun kuormitusta seurataan, ei ylläpito voi välttyä näkemästä liikennöinnin lähettäjän ja vastaanottajan sijaintia verkossa. Samoin näkyy tieto siitä, mikä on kyseisen liikennöinnin protokolla. Liikennöinnin "toinen pää" ja protokolla ei normaalisti tallennu lokeihin, mutta se nähdään ja se saatetaan tallentaa silloin, kun selvitetään liikennöintiin liittyvää häiriötilannetta.

Kuormituksen ja liikenteen seurannassa on mahdollista ylläpidon tietää liikennöinnistä lähettäjän ja vastaanottajan verkko-osoitteet sekä liikenneprotokolla. Yksittäisen käyttäjän toimintaa ei yleensä seurata; seuranta sallitaan vain kun erikseen selvitetään liikennöintiin liittyvää häiriötilannetta.

Päivitetty: 26.01.2016 klo 15:16