Käyttäjän työkalut
yhdistys:ikigpv
Erot
Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.
| Both sides previous revisionEdellinen revisioSeuraava revisio | Edellinen revisio | ||
| yhdistys:ikigpv [2016-08-15 14:39] – [Laitteisto-, ohjelmisto- ja tietoliikenneturvallisuus] haa | yhdistys:ikigpv [2024-04-02 21:00] (nykyinen) – haa | ||
|---|---|---|---|
| Rivi 1: | Rivi 1: | ||
| + | Tämä dokumentti kuvaa IKI ry:n omaa verkkotunnustoimintaa, | ||
| + | Tähän ohjeeseen voi viitata esimerkiksi " | ||
| + | |||
| + | Tämä ohjeisto on julkaistu [[https:// | ||
| + | |||
| + | ====== General Public Verkkotunnusvälittäjäohjeisto (IKI-GPV-1.0.1) omien domainien hallintaan ====== | ||
| + | |||
| + | Versio 1.0.1 on hyväksytty IKI ry:n hallituksessa 2016-08-15-181326. | ||
| + | |||
| + | ===== Määritelmiä ===== | ||
| + | |||
| + | ^ Termi ^ Merkitys ^ Yksityishenkilön tapauksessa ^ Yhteisön tapauksessa ^ | ||
| + | | Hallitus | Päätösvaltainen verkkotunnus- ja muissa asioissa | Henkilö itse | Yhteisön hallitus | | ||
| + | | Ylläpitäjä | Hoitaa verkkotunnuksien ja tietojärjestelmien teknistä ylläpitoa | Henkilö itse | Hallituksen nimeämät henkilöt | | ||
| + | | Vastuuhenkilö | Hoitaa pääasiassa verkkotunnusvälitystoimintaa | Henkilö itse | Hallituksen nimeämä henkilö | | ||
| + | | Varahenkilö | Hoitaa asioita vastuuhenkilön ollessa estynyt | Nimetty luotettu toinen henkilö | Hallituksen nimeämä henkilö | | ||
| + | |||
| + | ===== Kuvaus verkkotunnusvälittäjän toiminnasta ===== | ||
| + | |||
| + | Verkkotunnusvälittäjä tarjoaa verkkotunnuksen välitystä ja hallinnointia vain itse omistamilleen ja hallinnoimilleen fi-domain nimille eikä muille. | ||
| + | |||
| + | Verkkotunnusvälittäjä noudattaa tietoyhteiskuntakaaren (917/2014) sekä viestintäviraston ja muiden viranomaisten määräyksiä ja virallisia ohjeita. | ||
| + | |||
| + | Verkkotunnusvälittäjä hoitaa automaattisesti verkkotunnuksen voimassaolon uusimisen hyvissä ajoin ennen verkkotunnuksen vanhenemista. Verkkotunnus uusitaan oletuksena maksimiajaksi. Tavoitteena on verkkotunnuksen pitkäaikainen ja luotettava toiminta. | ||
| + | |||
| + | Verkkotunnusvälittäjän käytännön toimenpiteistä vastaavat samat ylläpitäjät kuin muidenkin tietojärjestelmän ylläpidosta tai erikseen nimetty verkkotunnusvastuuhenkilö. Näillä henkilöillä on oikeus hallita fi-domainin tietoja. | ||
| + | |||
| + | Verkkotunnusvälittäjä merkitsee domainin tiedot Viestintäviraston verkkotunnusrekisteriin toimivilla yhteystiedoilla ja pitää yhteystiedot ajan tasalla. Verkkotunnusvälittäjä käyttää tähän selainkäyttöliittymää, | ||
| + | |||
| + | Verkkotunnusvälittäjän yhteys ja muut tiedot pidetään ajan tasalla Viestintäviraston järjestelmissä. Tietoihin merkitään selvästi "Vain omien fi-domainien ylläpito" | ||
| + | |||
| + | Verkkotunnusvälittäjä noudattaa samoja korkean tietoturvan käytäntöjä ja hyviä tietoturvatapoja joita noudatetaan muissakin saman toimijan tietojärjestelmissä. | ||
| + | |||
| + | Palvelutasona (SLA) noudatetaan yhteisön normaaleja toimintamalleja pyrkien välttämään turhia viiveitä. | ||
| + | |||
| + | Yhteydenotot, | ||
| + | |||
| + | ===== Verkkotunnusvälittäjän dokumentoituja toimintamalleja ===== | ||
| + | |||
| + | ==== Yhteistä ==== | ||
| + | |||
| + | Yhteisiä käytäntöjä jotka koskevat useita allaolevia dokumentteja. | ||
| + | |||
| + | Viestintävirastossa olevan Verkkotunnusvälittäjätilin tunnuksia ei säilytetä itse tietojärjestelmissä vaan ylläpitäjien henkilökohtaisissa salatuissa salasanasovelluksissa. Viestintäviraston Verkkotunnusvälittäjätilille asetetaan satunnaisesti luotu vähintään 20 merkkiä pitkä salasana. | ||
| + | |||
| + | Verkkotunnusvälittäjä käsittelee vain omia tietojaan eikä ulkopuolisten tietoja. Omat tiedot suojataan samoilla käytännöillä kuin tärkeät tiedot muutenkin (esimerkiksi tiedot tallennetaan pääsykontrollin takana olevaan wiki-järjestelmään). | ||
| + | |||
| + | ==== Hallinnollinen tietoturva ==== | ||
| + | |||
| + | Verkkotunnusvälittäjä toimii domainin omistajan ja haltijan suorassa ohjauksessa ja verkkotunnusvälittäjän toimenpiteitä suorittavat vain erikseen nimetyt henkilöt. | ||
| + | |||
| + | Hallitus nimeää verkkotunnusvälitykseen vähintään yhden vastuu- ja yhden varahenkilön jotka hoitavat verkkotunnusvälittäjän juoksevia asioita. Oletuksena vastuuhenkilönä toimii hallituksen puheenjohtaja ja varahenkilönä tietojärjestelmien pääylläpitäjä. Vastuuhenkilön ollessa esteellinen varahenkilö hoitaa verkkotunnusvälittäjän toimintaa. | ||
| + | |||
| + | Verkkotunnusvälittäjätoiminnan riskit pyritään minimoimaan pitämällä verkkotunnusvälittäjän tunnukset ylläpitäjän omissa laitteissa salattuina eikä tietojärjestelmissä. | ||
| + | |||
| + | ==== Henkilöstöturvallisuus ==== | ||
| + | |||
| + | Verkkotunnusvälittäjä toimii olemassaolevian omien käytäntöjen, | ||
| + | |||
| + | Laitteilla joilla verkkotunnusvälitykseen liittyviä tietoja käsitellään on käytössä koko levyn salaus tai asiaan liittyvät tiedot on erikseen salattu vahvaa salausta käyttävällä ohjelmalla. | ||
| + | |||
| + | ==== Laitteisto-, | ||
| + | |||
| + | Tietojärjestelmät suojataan ja päivitetään hyvän käytännön mukaisesti ja tietoturvatiedotteita seurataan aktiivisesti ja niihin reagoidaan tarpeen mukaan viiveettä. Vain käytössä olevat palvelut on laitettu päälle. | ||
| + | |||
| + | Tietoliikenteessä salataan kaikki yhteydet mahdollisuuksien mukaan (esim. SSH, SSL) ja oletukseksi laitetaan salatut yhteydet (esim. STARTTLS SMTP sähköpostille) aina kun se on mahdollista. Hallinta-etäyhteydet salataan aina. | ||
| + | |||
| + | ==== Tietoaineisto- ja käyttöturvallisuus ==== | ||
| + | |||
| + | Koska ulkopuolisia tietoaineistoja tai rekistereitä ei ole käytössä, | ||
| + | |||
| + | Toiminnassa käsitellään vain omia henkilötietoja ja tietojen käsittelyssä noudatetaan hyvää hallintotapaa ja teknisestä tietoturvasta huolehditaan yleisin parhain käytännöin. | ||
| + | |||
| + | ==== Fyysinen turvallisuus ==== | ||
| + | |||
| + | Tietojärjestelmät sijaitsevat lukituissa tiloissa ja palvelimiin on fyysinen pääsy vain hallituksen auktorisoimilla henkilöillä. | ||
| + | |||
| + | ==== Riskienhallinnan prosessi ja säännölliset riskikartoitukset === | ||
| + | |||
| + | Tietojärjestelmien ja fi-domain -asioiden riskejä analysoidaan säännöllisesti ylläpidon toimesta vähintään kerran vuodessa. Tarpeen vaatiessa esitetään raportti ja suosituksia toimenpiteiksi hallitukselle. | ||
| + | |||
| + | ==== Välitystoiminnan kannalta tärkeiden tietoaineistojen luokitusjärjestelmä ja luokitteluun liittyvä tietoaineistojen käsittelymenettely ==== | ||
| + | |||
| + | Verkkotunnusvälittäjä käsittelee vain omia tietoja eikä ulkopuolisten tietoja. Tiedot pidetään tallessa organisaation omien käytäntöjen mukaisesti. | ||
| + | |||
| + | ==== Välitystoiminnan tietoturvauhkien valvontamekanismi ==== | ||
| + | |||
| + | Tietojärjestelmien tietoturvauhkia arvioidaan ajoittain, vähintään kerran vuodessa. Tarpeen vaatiessa esitetään raportti ja suosituksia toimenpiteiksi yhteisön hallitukselle. | ||
| + | |||
| + | ==== Menettelyohjeet välitystoiminnan tietoturvaa häiritsevien tai uhkaavien tilanteiden varalle ==== | ||
| + | |||
| + | Mahdollisessa häiriötilanteessa toimitaan kuten muitenkin IT-uhkien tapauksessa on suunniteltu esim. noudatetaan samoja varasuunnitelmia ja varmuuskopiointikäytäntöjä. | ||
| + | |||
| + | ==== Verkko-, ohjelmisto-, | ||
| + | |||
| + | Käytössä olevista laitteista ja niiden konfiguraatioista ylläpidetään dokumenttia (esimerkiksi hallituksen salasanasuojatussa wiki:ssä). | ||
| + | |||
| + | // | ||
Sivutyökalut
Jollei muuta ole mainittu, niin sisältö tässä wikissä on lisensoitu seuraavalla lisenssillä: CC Attribution-Noncommercial-Share Alike 4.0 International
