Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.
Both sides previous revisionEdellinen revisioSeuraava revisio | Edellinen revisio | ||
yhdistys:ikigpv [2016-07-06 07:02] – [Kuvaus verkkotunnusvälittäjän toiminnasta] haa | yhdistys:ikigpv [2024-04-02 21:00] (nykyinen) – haa | ||
---|---|---|---|
Rivi 1: | Rivi 1: | ||
+ | Tämä dokumentti kuvaa IKI ry:n omaa verkkotunnustoimintaa, | ||
+ | Tähän ohjeeseen voi viitata esimerkiksi " | ||
+ | |||
+ | Tämä ohjeisto on julkaistu [[https:// | ||
+ | |||
+ | ====== General Public Verkkotunnusvälittäjäohjeisto (IKI-GPV-1.0.1) omien domainien hallintaan ====== | ||
+ | |||
+ | Versio 1.0.1 on hyväksytty IKI ry:n hallituksessa 2016-08-15-181326. | ||
+ | |||
+ | ===== Määritelmiä ===== | ||
+ | |||
+ | ^ Termi ^ Merkitys ^ Yksityishenkilön tapauksessa ^ Yhteisön tapauksessa ^ | ||
+ | | Hallitus | Päätösvaltainen verkkotunnus- ja muissa asioissa | Henkilö itse | Yhteisön hallitus | | ||
+ | | Ylläpitäjä | Hoitaa verkkotunnuksien ja tietojärjestelmien teknistä ylläpitoa | Henkilö itse | Hallituksen nimeämät henkilöt | | ||
+ | | Vastuuhenkilö | Hoitaa pääasiassa verkkotunnusvälitystoimintaa | Henkilö itse | Hallituksen nimeämä henkilö | | ||
+ | | Varahenkilö | Hoitaa asioita vastuuhenkilön ollessa estynyt | Nimetty luotettu toinen henkilö | Hallituksen nimeämä henkilö | | ||
+ | |||
+ | ===== Kuvaus verkkotunnusvälittäjän toiminnasta ===== | ||
+ | |||
+ | Verkkotunnusvälittäjä tarjoaa verkkotunnuksen välitystä ja hallinnointia vain itse omistamilleen ja hallinnoimilleen fi-domain nimille eikä muille. | ||
+ | |||
+ | Verkkotunnusvälittäjä noudattaa tietoyhteiskuntakaaren (917/2014) sekä viestintäviraston ja muiden viranomaisten määräyksiä ja virallisia ohjeita. | ||
+ | |||
+ | Verkkotunnusvälittäjä hoitaa automaattisesti verkkotunnuksen voimassaolon uusimisen hyvissä ajoin ennen verkkotunnuksen vanhenemista. Verkkotunnus uusitaan oletuksena maksimiajaksi. Tavoitteena on verkkotunnuksen pitkäaikainen ja luotettava toiminta. | ||
+ | |||
+ | Verkkotunnusvälittäjän käytännön toimenpiteistä vastaavat samat ylläpitäjät kuin muidenkin tietojärjestelmän ylläpidosta tai erikseen nimetty verkkotunnusvastuuhenkilö. Näillä henkilöillä on oikeus hallita fi-domainin tietoja. | ||
+ | |||
+ | Verkkotunnusvälittäjä merkitsee domainin tiedot Viestintäviraston verkkotunnusrekisteriin toimivilla yhteystiedoilla ja pitää yhteystiedot ajan tasalla. Verkkotunnusvälittäjä käyttää tähän selainkäyttöliittymää, | ||
+ | |||
+ | Verkkotunnusvälittäjän yhteys ja muut tiedot pidetään ajan tasalla Viestintäviraston järjestelmissä. Tietoihin merkitään selvästi "Vain omien fi-domainien ylläpito" | ||
+ | |||
+ | Verkkotunnusvälittäjä noudattaa samoja korkean tietoturvan käytäntöjä ja hyviä tietoturvatapoja joita noudatetaan muissakin saman toimijan tietojärjestelmissä. | ||
+ | |||
+ | Palvelutasona (SLA) noudatetaan yhteisön normaaleja toimintamalleja pyrkien välttämään turhia viiveitä. | ||
+ | |||
+ | Yhteydenotot, | ||
+ | |||
+ | ===== Verkkotunnusvälittäjän dokumentoituja toimintamalleja ===== | ||
+ | |||
+ | ==== Yhteistä ==== | ||
+ | |||
+ | Yhteisiä käytäntöjä jotka koskevat useita allaolevia dokumentteja. | ||
+ | |||
+ | Viestintävirastossa olevan Verkkotunnusvälittäjätilin tunnuksia ei säilytetä itse tietojärjestelmissä vaan ylläpitäjien henkilökohtaisissa salatuissa salasanasovelluksissa. Viestintäviraston Verkkotunnusvälittäjätilille asetetaan satunnaisesti luotu vähintään 20 merkkiä pitkä salasana. | ||
+ | |||
+ | Verkkotunnusvälittäjä käsittelee vain omia tietojaan eikä ulkopuolisten tietoja. Omat tiedot suojataan samoilla käytännöillä kuin tärkeät tiedot muutenkin (esimerkiksi tiedot tallennetaan pääsykontrollin takana olevaan wiki-järjestelmään). | ||
+ | |||
+ | ==== Hallinnollinen tietoturva ==== | ||
+ | |||
+ | Verkkotunnusvälittäjä toimii domainin omistajan ja haltijan suorassa ohjauksessa ja verkkotunnusvälittäjän toimenpiteitä suorittavat vain erikseen nimetyt henkilöt. | ||
+ | |||
+ | Hallitus nimeää verkkotunnusvälitykseen vähintään yhden vastuu- ja yhden varahenkilön jotka hoitavat verkkotunnusvälittäjän juoksevia asioita. Oletuksena vastuuhenkilönä toimii hallituksen puheenjohtaja ja varahenkilönä tietojärjestelmien pääylläpitäjä. Vastuuhenkilön ollessa esteellinen varahenkilö hoitaa verkkotunnusvälittäjän toimintaa. | ||
+ | |||
+ | Verkkotunnusvälittäjätoiminnan riskit pyritään minimoimaan pitämällä verkkotunnusvälittäjän tunnukset ylläpitäjän omissa laitteissa salattuina eikä tietojärjestelmissä. | ||
+ | |||
+ | ==== Henkilöstöturvallisuus ==== | ||
+ | |||
+ | Verkkotunnusvälittäjä toimii olemassaolevian omien käytäntöjen, | ||
+ | |||
+ | Laitteilla joilla verkkotunnusvälitykseen liittyviä tietoja käsitellään on käytössä koko levyn salaus tai asiaan liittyvät tiedot on erikseen salattu vahvaa salausta käyttävällä ohjelmalla. | ||
+ | |||
+ | ==== Laitteisto-, | ||
+ | |||
+ | Tietojärjestelmät suojataan ja päivitetään hyvän käytännön mukaisesti ja tietoturvatiedotteita seurataan aktiivisesti ja niihin reagoidaan tarpeen mukaan viiveettä. Vain käytössä olevat palvelut on laitettu päälle. | ||
+ | |||
+ | Tietoliikenteessä salataan kaikki yhteydet mahdollisuuksien mukaan (esim. SSH, SSL) ja oletukseksi laitetaan salatut yhteydet (esim. STARTTLS SMTP sähköpostille) aina kun se on mahdollista. Hallinta-etäyhteydet salataan aina. | ||
+ | |||
+ | ==== Tietoaineisto- ja käyttöturvallisuus ==== | ||
+ | |||
+ | Koska ulkopuolisia tietoaineistoja tai rekistereitä ei ole käytössä, | ||
+ | |||
+ | Toiminnassa käsitellään vain omia henkilötietoja ja tietojen käsittelyssä noudatetaan hyvää hallintotapaa ja teknisestä tietoturvasta huolehditaan yleisin parhain käytännöin. | ||
+ | |||
+ | ==== Fyysinen turvallisuus ==== | ||
+ | |||
+ | Tietojärjestelmät sijaitsevat lukituissa tiloissa ja palvelimiin on fyysinen pääsy vain hallituksen auktorisoimilla henkilöillä. | ||
+ | |||
+ | ==== Riskienhallinnan prosessi ja säännölliset riskikartoitukset === | ||
+ | |||
+ | Tietojärjestelmien ja fi-domain -asioiden riskejä analysoidaan säännöllisesti ylläpidon toimesta vähintään kerran vuodessa. Tarpeen vaatiessa esitetään raportti ja suosituksia toimenpiteiksi hallitukselle. | ||
+ | |||
+ | ==== Välitystoiminnan kannalta tärkeiden tietoaineistojen luokitusjärjestelmä ja luokitteluun liittyvä tietoaineistojen käsittelymenettely ==== | ||
+ | |||
+ | Verkkotunnusvälittäjä käsittelee vain omia tietoja eikä ulkopuolisten tietoja. Tiedot pidetään tallessa organisaation omien käytäntöjen mukaisesti. | ||
+ | |||
+ | ==== Välitystoiminnan tietoturvauhkien valvontamekanismi ==== | ||
+ | |||
+ | Tietojärjestelmien tietoturvauhkia arvioidaan ajoittain, vähintään kerran vuodessa. Tarpeen vaatiessa esitetään raportti ja suosituksia toimenpiteiksi yhteisön hallitukselle. | ||
+ | |||
+ | ==== Menettelyohjeet välitystoiminnan tietoturvaa häiritsevien tai uhkaavien tilanteiden varalle ==== | ||
+ | |||
+ | Mahdollisessa häiriötilanteessa toimitaan kuten muitenkin IT-uhkien tapauksessa on suunniteltu esim. noudatetaan samoja varasuunnitelmia ja varmuuskopiointikäytäntöjä. | ||
+ | |||
+ | ==== Verkko-, ohjelmisto-, | ||
+ | |||
+ | Käytössä olevista laitteista ja niiden konfiguraatioista ylläpidetään dokumenttia (esimerkiksi hallituksen salasanasuojatussa wiki:ssä). | ||
+ | |||
+ | // |