Tietoturvalinjauksissa yhtenä aiheena on harjoittelu. Nykyaikaisen kaupungin palvelut tukeutuvat erilaisiin tieto- ja viestintäjärjestelmiin. Palvelutoiminnan varmistamista poikkeuksellisissa tilanteissa kannattaa harjoitella.
Helsingin kaupungin tietoturvalinjaus toimintakyvyn varmistamisesta toteaa, että varmistuakseen organisaation toimintakyvystä, Vastuussa olevan johdon tulee teettää tarkastuksia ja harjoituksia.
Tietoturvaan liittyvät tarkastukset ja harjoitukset voidaan liittää esimerkiksi toimialan, viraston tai liikelaitoksen valmiusharjoituksiin tai järjestelmien katselmointeihin ja testauksiin. Kaikkiin valmius- ja johtamisharjoituksiin on hyvä sisällyttää tieto- ja viestintäteknisiin järjestelmiin liittyvä osa-alue – kybertoimintakyvyn harjoite.
Jatkuvuussuunnittelu ja varajärjestelmät
Kaupungin tärkeille palveluille tulee olla suunnitelmia sen varalta, että tietojärjestelmät eivät ole käytettävissä. Se on toiminnan jatkuvuussuunnittelua.
Varajärjestelyt voivat perustua korvaavien tietojärjestelmien tai paperilomakkeiden käyttöön. Varajärjestelyiden avulla voidaan toimia jonkin aikaa, vaikka palvelu hidastuu tai tekeminen muuten vaikeutuu.
Tietoturvapoikkeama
Tietotekninen poikkeama voi syntyä esimerkiksi laiterikosta, asennusvirheestä, jostain ulkopuolisesta tapahtumasta kuten kaapelin katkeamisesta tai vesisateen aiheuttamasta vesivahingosta.
Poikkeama voi aiheutua myös jonkun pahantahtoisen tahon tarkoituksellisesta toiminnasta. Tietojärjestelmään on voitu tunkeutua, ja varastaa siellä olevia tietoja.
Toipumissuunnitelma
Tieto- ja viestintäjärjestelmille on tehtävä suunnitelmat, kuinka ne saadaan taas uudestaan toimimaan, jos ne menevät rikki. Ne ovat toipumissuunnitelmia.
Toipumissuunnitelma kuvaa kuinka tekninen järjestelmä saadaan rakennettua uudestaan toimivaksi. Tärkeimmät palvelut tulee siis tunnistaa, sekä niihin liittyvät tärkeimmät tekniset järjestelmät.
Sitten tulee suunnitella, miten ongelmatilanteissa toimitaan, ja kuinka ongelmista palataan takaisin normaaliin arkeen. Ja jotta poikkeamatilanteissa osataan toimia oikein, niitä tulee harjoitella.
Taisto-harjoitus
Osana julkishallinnon VAHTI-toimintaa Digi- ja väestötietovirasto järjestää julkishallinnolle yhteisen Taisto-harjoituksen. Harjoituksen tavoitteena on tunnistaa eri viranomaisten tehtävät erilaisissa digitaalisen toimintaympäristön poikkeamatilanteissa.
Harjoitus kehittää osallistujien tietoturvan hallintaa, johtamista ja viestintää häiriötilanteissa. Se kehittää henkilötietoihin kohdistuvien tietoturvaloukkauksien sekä muiden tietoturvapoikkeamien hallinnassa tarvittavia työtapoja.
Harjoitus kehittää kykyä arvioida tietoturvapoikkeamista syntyvää riskiä. Viranomaisille, sidosryhmille ja rekisteröidyille henkilöille ilmoittamista harjoitellaan myös.
Taisto-harjoitus auttaa osallistujia kehittämään toimintansa jatkuvuuteen, varautumiseen ja häiriötilanneviestintään liittyviä ohjeita, suunnitelmia ja toimintaprosesseja. Helsinki on osallistunut säännöllisesti Taisto-harjoituksiin.
Tiedonhallintalaki ja harjoittelu
Tietoturvapoikkeamien harjoittelu tukee myös tiedonhallintalain toimeenpanoa.
Viranomaisen tehtävien hoitamisen kannalta olennaisten tietojärjestelmien vikasietoisuus ja toiminnallinen käytettävyys on varmistettava riittävällä testauksella säännöllisesti.
Video ja verkkoaineistot
Tietoisku Helsinki-kanavassa
- Tietoturvalinjaukset ja harjoittelu (video, 3 minuuttia).
- Helsingin kaupungin tietoturvalinjaukset kaupungin verkkosivulla.
- Taisto-harjoitusten esittely sekä
- VAHTI-toiminnan esittely Digi- ja väestötietoviraston sivuilla.
Opi lisää tietoturvasta ja tiedonhallintalaista digitaalisen Helsingin blogauksista ja Helsinki-kanavan Tietoturva työpisteellä -videoista.
Herättikö teksti ajatuksia? Keskustele Twitterissä asiasanalla #digihelsinki.
Teksti ja kuvitus: Aaro Hallikainen