Lokitiedot - SecMeter

Go to content

Lokitiedot

Yritysturvallisuus > Tietoturvallisuus
Tapahtumien lokitus (lokitiedosto), josta jäljempänä käytetään nimitystä tapahtumakirjanpito (tapahtumatiedosto) on tietovarastojen, ohjelmistojen ja laitteiden tapahtumien kirjaamista tiedostoon.

Tapahtumatiedostot ovat henkilörekistereitä, jos niissä esityviä tietoja voidaan yhdistää tiettyyn henkilöön. Näistä tiedostoista tulee laatia henkilörekisteriseloste rekisteröityjen saataville, koska tapahtumatiedostoihin sovelletaan henkilötietolakia (523/1999) ja muita henkilötietojen ja yksityisyyden suojasta annettuja lakeja.

Yksinomaan teknisten järjestelmien operatiivisia tietoja sisältävät lokitiedostot eivät ole henkilörekistereitä. Näistä ei laadita henkilörekisteriselostetta.

Ulkoistettujen palveluiden kohdalla lokitiedostojen rekisterinpitäjä on palveluntarjoaja, ellei kyseessä ole palvelusopimuksen kuvaama palvelu, jota palveluntarjoaja ei muutoin toteuttaisi.

Palveluntarjoajan velvollisuus on huolehtia omaan palvelutoimintaansa liittyvien tapahtumatiedostojen asianmukaisuudesta ja järjestää tarvittaessa henkilörekisteriseloste rekisteröityjen nähtäville.

Tapahtumakirjanpidon tarkoitus ja tavoitteet
Tapahtumakirjauksen tavoitteena on kirjata ylös ne tapahtumat, joiden avulla voidaan tutkia järjestelmän toimintaa, tapahtumia ja mahdollisia väärinkäytöstilanteita.

Tapahtumakirjaukset suoritetaan järjestelmien lisäksi verkon aktiivilaitteissa, kuten palomuureissa ja reitittimissä. Nämä aktiivilaitteet ovat pääsääntöisesti yrityksen omistamia ja niiden tapahtumakirjausperiaatteet palvelevat omistajan tarpeita. Ulkoistettujen palveluiden osalta laitteet hallinnoi ja omistaa palveluntarjoaja.

Verkon aktiivilaitteet on yleensä kytketty julkisiin verkkoihin ja lisäarvopalveluihin ja näin ollen niiden osalta sovelletaan tietoyhteiskuntakaaren säädöksiä. Lainsäädännössä on lokitietojen käytöstä mainintoja seuraavissa laeissa:

  • Tietoyhteiskuntakaari 7.11.2014/917
  • Laki sähköisestä lääkemääräyksestä 2.2.2007/61 20 §
  • Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 9.2.2007/159 5 §
  • Laki henkilötietojen käsittelystä poliisitoimessa 22.8.2003/761 41a §
  • Laki ajoneuvoliikennerekisteristä 13.6.2003/541 17 §
  • Laki sosiaali- ja terveydenhuollon saumattoman palveluketjun kokeilusta 22.9.2000/811 3 §

Tietoyhteiskuntakaaren mukaan teleyrityksen on tallennettava välitystietojen käsittelystä yksityiskohtaiset tapahtumatiedot. Tapahtumatiedoista on käytävä ilmi käsittelyn ajankohta, kesto ja käsittelijä. Tapahtumatiedot on säilytettävä kaksi vuotta niiden tallentamisesta.

Henkilötietolain 22.4.1999/523 32 § mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä.

Laittomaan käsittelyyn liittyvään valvontavelvollisuuteen voidaan katsoa sisältyvän myös tapahtumakirjanpitovelvollisuus. Muutoin laittomalta käsittelyltä ei ole mahdollista suojautua, koska nimenomaan lailliset käyttövaltuudet omaava henkilö yleensä syyllistyy rekisteritietojen laittomaan käsittelyyn.

Kirjanpitolain 30.12.1997/1336 kohdassa 2 luvun 6 § on kuitenkin mainittu kirjausketju (audit trail) vaatimus. Tätä säännöstä ei voida soveltaa yleisellä tasolla muihin järjestelmiin.

Muut tapahtumakirjanpidon tarpeellisuusvaatimukset perustuvat yleensä tietojen ja tietojärjestelmien omistajien omiin tarpeisiin, ICT–alan standardeihin esim. ISO/IEC 27000.

Tietoturvallisuuden näkökulmasta tapahtumakirjanpito on oleellinen osa väärinkäytösten ja hyökkäysten havainnointia sekä niiden analysointia. SANS Instituten ja FBI:n tutkimuksen mukaan puutteellinen tapahtumakirjanpito luokitellaan 6. vakavimmaksi tietoturvaongelmaksi.

Tapahtumakirjausvelvoite
Tapahtumakirjausvelvoitetta voidaan perustella seuraavilla seikoilla:

  • Nykyisin yleinen oikeusperiaate.
  • Palvelusopimusten tietoturvallisuuslausekkeet.
  • Sopimuksen täyttämisen kriteeri tietotekniikkasidonnaisissa suorituksissa.
  • Käyttöliittymälle asetettava osittainen lakisääteinen vaatimus.
  • Yleisvelvoite henkilötietolaissa.
  • Julkisuuslaissa viranomaisten tietoturvallisuutta koskevat velvoitteet.

Tapahtumakirjanpitotietojen turvaaminen
Käytännössä tapahtumatietojen suojaaminen yksinomaan kohdejärjestelmän sisällä ei ole riittävä toimenpide. Tapahtumatiedot tulee siirtää myös erilliselle lokipalvelimelle, joka on huolellisesti suojattu. Tapahtumatietojen kokoaminen erilliselle palvelimelle tukee myös tapahtumatietojen keskitettyä analysointia.

Luvattomaan tunkeutumiseen liittyy lähes aina jälkien peittely tai sen yritys. Tähän havaintoon perustuen tulee tapahtumakirjanpidon suojaamisessa kiinnittää erityistä huomiota seuraaviin seikkoihin:

  • Tapahtumakirjanpidon tietojen suojaaminen oikeudettomilta käyttäjiltä.
  • Tapahtumakirjanpidon uudelleen konfiguroinnin suojaaminen oikeudettomilta käyttäjiltä.
  • Tapahtumakirjanpidon suojaaminen tallennustilan täyttymiseltä, huomioiden erityisesti tilanteet, jossa hyökkääjä vaikeuttaa tunkeutumisen havaitsemista suorittamalla ensin palvelunestohyökkäyksen.

Tapahtumakirjanpidon toteutus
Tapahtumakirjanpidon toteutuksen on tuettava forensic–prosessia sekä järjestelmiin kohdistuvien tapahtumien kirjauksen, että niiden analysoinnin osalta.

Forensiikan perusedellytykset

  • tietoliikenteen, sovellusten ja tietokantojen lokitiedot on tallennettu ja tapahtumat on synkronisesti aikaleimattu
  • sisään ja ulospäin suuntautuneen tietoliikenteen lokitiedot on tallennettu pidemmältä ajanjaksolta
  • käytettävissä on tiedot tietojenkäsittelylaitteista ja niiden sisältämistä ohjelmistoista versiotietoineen.

Tapahtumakirjanpitoon liittyvien tietojen tallennusaika
Tapahtumakirjanpitoon liittyvien tietojen tallennusaika johdetaan käyttötarkoituksesta. Koska tapahtumakirjanpitoa pidetään rekisteröidyn ja rekisterinpitäjän hyväksi, voidaan lokiin tallentuvia tietoja säilyttää niin kauan kuin rekisteröity voi esittää rikosperusteisia vaatimuksia rekisterinpitäjää, tai henkilötietojen käsittelijää vastaan tai niin kauan kuin rekisterinpitäjällä on tarvetta säilyttää omaan toimintaansa liittyvää todistusaineistoa.

Tietosuojarikosten syyteoikeuden vanhenemisaika on kaksi (2) vuotta. Väärinkäytösepäilyn ilmitulovaiheessa ei ole kuitenkaan mahdollista arvioida mihin tekoihin epäillyt/epäilty on toimenpiteillään syyllistynyt ja mihin lakiin rangaistusvaatimukset tulevat perustumaan.

Teko saattaa olla yksittäinen väärinkäytös tai pitkään jatkunut jopa useiden vuosien ajan jatkunut rikoslain mukainen väärinkäytös esimerkiksi laittomasti hankitun käyttövaltuuden mahdollistamilla valtuuksilla.

Yleensä yrityksen tietojärjestelmiin liittyvät mahdolliset väärinkäytöstilanteet tulevat valitusprosessien tai sisäisten havaintojen kautta ilmi vasta viiveellä tai käyttäjän toimintaa tietojärjestelmässä on muutoin selvitettävä pidemmällä aikajaksolla, on hyödyllistä säilyttää tapahtumakirjanpitotietoja useampi vuosi. Henkilötietolain 34 § mukaan tiedot on poistettava rekisteristä sen jälkeen, kun käsittelylle ei ole tarvetta.

Vaatimuksia palveluittain

Kanta-palvelut
Kansallisessa potilasarkistossa ylläpidetään luovutuslokia, jonka säilytysaika voi olla esimerkiksi 10 + 2 vuotta.

Sosiaali- ja terveydenhuollon potilastiedot
Sosiaali- ja terveydenhuollon lokitiedot tulee säilyttää 10 vuotta niiden syntymishetkestä. Rekisteröidyn mahdollisten oikeusvaatimusten johdosta säilytysaika on 12 vuotta.

Virhetilanteiden selvittely
Tietojärjestelmän testauksessa ja tuotannossa mahdollisten virhetilanteiden selvittämistä varten kerättäviä lokeja ei yleensä säilytetä pidempään kuin syntyneen virhetilanteen ilmeneminen ja selvittäminen edellyttävät.

Tietokantojen päivitystapahtumat
Tietokantojen päivitysten eheyden varmistamiseksi kerättäviä lokeja säilytetään varmistusvälin ajan eli niin kauan, että käytettävissä on koko tietokannasta otettu varmuuskopio ja siihen edellisen varmistuksen jälkeen tehdyt muutostapahtumat. Säilytysaika 1 - 2 vuotta.

Tupas-palvelut
Tupas-palvelun käytöstä syntyneitä lokitietoja säilytetään lain ja viranomaismää- räysten mukaisen vähimmäisajan

Palveluntarjoaja säilyttää Tupas-palvelun välityksellä saamiaan asiakastietoja toimiala kohtaisen lainsäädännön ja henkilötietolain mukaisen ajan.

Varmennuspalvelut
Varmennepalveluun ja varmennetuotantoon liittyvät sopimukset säilytetään vähintään kolmen vuoden ajan niiden voimassaolon päättymisestä laskettuna.

Tilastointi
Järjestelmän tai käyttäjien käyttömäärän tilastoimiseksi kerättyjä lokitietoja säilytetään korkeintaan yksi vuosi.

Asianhallintajärjestelmä
Lokitietoja on säilytettävä ainakin niin kauan kuin rekisteröity voi esittää rikosperusteisia vaatimuksia henkilötietojen käsittelijää tai sivullista vastaan ja vähintään yhtä pitkään kuin asiaa koskevia asiakirjoja säilytetään ja asiakirjan tilatieto on muuttunut statukseksi "hävitetty".

Hävitetyn asiakirjan metatietojen on jäätävä järjestelmään. Järjestelmän on voitava tuottaa raportti hävitetyistä asiakirjoista.

Laskutustiedot
Laskutustietoja koskevat lokitapahtumat säilytetään maksuperusteen vanhenemisajan.

Valvontalokitiedot
Tapahtumatiedot säilytetään valvontalokissa 2 vuoden ajan.

Viranomaisen asiointitilit
Asiointitilipalvelun tallentamia lokitietoja säilytetään viisi vuotta.

Turvakiellon alaisten tietojen käsittely
Turvakieltolokin tietojen säilytysaika on viisi vuotta.

Laillisuusvalvontaan liittyvät lokit
Laillisuusvalvontaan liittyvien lokitietojen säilytysaika on viisi vuotta.

Tapahtumakirjanpidon käyttövaltuudet
Tapahtumakirjanpidon käyttövaltuudet on määriteltävä niin, että ne perustuvat tapahtumakirjanpidon muodostamistarkoitukseen esimerkiksi henkilörekisteri käyttöön liittyvään valvontavelvollisuuteen.

Tämän vaatimuksen täyttäminen edellyttää, että tapahtumakirjanpidon tietoihin ovat oikeutettuja vain ne henkilöt, joiden työtehtäviin kuuluu vastata tietoturvan toteutumisesta.

Tarkastusoikeuden toteuttaminen
Tapahtumakirjanpitoaineisto muodostaa itsenäisen henkilörekisterin, josta on laadittava henkilötietolain mukainen rekisteriseloste. Rekisteriseloste on laadittava siitä huolimatta, vaikka tapahtumakirjanpito liittyisi henkilörekisteriin, josta on jo laadittu rekisteriseloste, koska tapahtumakirjanpidolla on poikkeava käyttötarkoitus suhteessa varsinaiseen henkilötietojen käsittelyn tarkoitukseen.

Rekisteröidyillä henkilöillä on oikeus luottaa siihen, ettei tapahtumakirjanpitoon tallentuvia tietoja käytetä käyttötarkoituksensa vastaisesti. Rekisteröidyillä henkilöillä on myös oikeus tarkistaa tapahtumakirjanpitoon tallentuneet tietonsa ja tarvittaessa vaatia virheet oikaistuksi.

Tarkastusoikeus koskee vain rekisteröidyn omia tietoja, ei esimerkiksi niiden henkilöiden tietoja, jotka ovat käyttäneet rekisteröidyn tietoja, ellei kyseessä ole julkisuuslain nojalla asianosaiselle kuuluva tiedonsaantioikeus.

Väärinkäytösepäilyssä rekisteröidyn on käynnistettävä esitutkinta.
Rekisteröityjä tulee informoida tapahtumakirjanpidosta ja tarkastusoikeudesta sekä saattaa rekisteriseloste käsittelijöiden nähtäville.

Sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (9.2.2007/159)  18 §:n perusteella rekisteröidyllä on oikeus saada asiakastietojensa käsittelyyn liittyvien oikeuksiensa selvittämistä tai toteuttamista varten sosiaalihuollon ja terveydenhuollon palvelujen antajalta kirjallisesta pyynnöstä viivytyksettä lokirekisterin perusteella maksutta tieto siitä, kuka on käyttänyt tai kenelle on luovutettu häntä koskevia tietoja sekä mikä on ollut käytön tai luovutuksen peruste.

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Asiakkaiden luottamus on voitettava joka päivä uudelleen.
Sääntö nro 2
Riittävän isolla vasaralla voi rikkoa mitä tahansa.
Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.

Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.

Back to content