Hyppää pääsisältöön

Lokipolitiikka

Tampereen yliopisto ja TAMK

Johdanto 

Tämä asiakirja kuvaa korkeakoulukonsernin yleiset periaatteet ja vaatimukset lokitietojen keräämiselle, käsittelylle ja hallinnalle. Lokiperiaatteiden tarkoitus on varmistaa, että korkeakoulukonsernin tietojenkäsittelyn valvonta on tarkoituksenmukaista ja tukee ympäristön turvallista ja häiriötöntä toimintaa sekä antaa työkaluja toiminnan kehittämiselle. 

Lokitiedoilla tarkoitetaan tietojenkäsittelystä (muun muassa järjestelmät, sovellukset, palvelimet, päätelaitteet, tietoliikennelaitteet) kerättävää tapahtumakohtaista tietoa. Lokitietojen avulla voidaan selvittää mitä, miksi ja milloin jotakin on tietojärjestelmissä tapahtunut tai on todennäköisesti tapahtumassa. Lokitietojen keräämiselle ja käsittelylle pitää olla oikeudellinen peruste. 

Lokien käsittelyperiaatteet koskevat lokitiedon koko elinkaarta. Käsittelyyn kuuluu tietojen kerääminen, katselu, analysointi, raportointi, säilytys, luovutus ja tuhoaminen. 

Tässä asiakirjassa kuvattuja periaatteita tulee soveltaa kaikkiin korkeakoulukonsernin omistamiin, käyttämiin tai hallinnoimiin palveluihin. Periaatteita tulee soveltaa myös ulkoistettuihin palveluihin  mahdollisuuksien mukaan. Ulkoistetun palvelun lokituksen riittävyys ja käyttökelpoisuus varmistetaan palvelun hankinnan yhteydessä asetettavilla vaatimuksilla ja palvelusta laadittavilla sopimuksilla. 

Omistajuus 

Tämän asiakirjan omistajuus, sisältö ja ylläpitovastuu kuuluu korkeakoulukonsernin tietoturvasta vastaavalle taholle. Tietoturvasta vastaava taho on määritelty tietoturvaperiaatteissa. 

Tarkoitus 

Lokitietojen kerääminen ja käsittely on perusteltua korkeakoulukonsernille määriteltyjen tehtävien ja niiden jatkuvuuden turvaamisen kannalta. 

Lokitietojen keräämisen ja käsittelyn keskeisin tarkoitus on varmistaa tietojenkäsittelyn sekä tietojenkäsittely-ympäristöjen ylläpito ja häiriötön toiminta. 

Poikkeamatilanteissa lokeja tarvitaan tapahtumien osapuolten, poikkeaman vaikutusten laajuuden ja syiden selvittämiseen sekä tilanteen palauttamiseksi normaaliksi. 

Kerättyjä lokitietoja hyödynnetään tyypillisesti 

  • teknisten vikatilanteiden tai häiriöiden selvittämisessä 

  • tietoturvasta huolehtimisessa 

  • käyttösääntöjen vastaisen toiminnan selvittämisessä 

  • tietosuojan valvonnassa 

  • tietoteknisten palveluiden kehittämisessä 

  • käytön tilastoinnissa 

  • laskutuksen ja kustannusten kohdentamissa 

  • käyttäjien ja ylläpidon oikeusturvan tukemisessa 

  • vaatimustenmukaisuuden todentamisessa 

  • muutosten hallinnassa 

Käsittelyn periaatteet 

Lokitiedon kerääminen ja käsittely on suunniteltua, perusteltua ja näiden periaatteiden mukaista. 

Lokitietojen hallinnassa noudatetaan seuraavia periaatteita: 

  • Lokitiedon käsittely määritellään lokilähdekohtaisesti ja sen käsittelyn lainmukaisuus varmistetaan koko elinkaaren ajan. Erityistä huomiota kiinnitetään viestintälokeihin ja henkilötietoja sisältäviin lokeihin. 

  • Pääsyoikeus lokitietoihin myönnetään vain tarveperusteisesti.

  • Lokitiedot ovat suojattuja siten, ettei niitä pääse katselemaan muut kuin siihen oikeutetut henkilöt.

  • Lokitiedot on suojattu niin, ettei niitä voi muuttaa.

  • Lokitiedot säilytetään ja siirretään niin ettei niiden käyttöarvo vaarannu.

  • Lokitietojen käsittelyyn osallistuvilta vaaralliset työyhdistelmät on tunnistettu ja niiden riskit on hallittu 

  • Lokitietojen hallinta on kuvattava kirjallisesti.

  • Lokitietojen tallennus ja käsittely ottaa huomioon lokilähteen tiedon suojausvaatimukset. 

  • Pääsääntöisesti on käytettävä keskitettyä lokienhallintaa. Keskitettyä lokienhallintaa ei tarvitse käyttää kun se ei ole tarkoituksenmukaista.  

  • Jokaiseen tuotettuun lokitietueeseen tulee tallettaa minimimäärä tietoja, jolla voidaan toteuttaa lokin käyttötarkoitus. 

  • Jos loki sisältää henkilötietoja, tehdään tietosuojalainsäädännön edellyttämä arvio rekisteröidyn oikeuksiin kohdistuvista riskeistä, tarvittaessa vaikutustenarviointi (DPIA).

  • Kaikkien lokilähteiden ja käsittelyjärjestelmien kellojen tulee olla synkronoituna lokitietojen aikaleimojen oikeellisuuden varmistamiseksi. 

  • Lokitiedoilla on ennalta määritelty säilytysaika jonka jälkeen ne hävitetään. 

  • Lokitietoa saa käyttää vain teknisen ympäristön, järjestelmän, sovelluksen tai käyttäjän suojaamiseen, tietoturvapoikkeamien selvittämiseen sekä teknisen ympäristön, järjestelmän tai sovelluksen kehittämiseen. Muissa tapauksissa noudatetaan poikkeusmenettelyä. 

  • Tietosuojaperiaatteiden toteutumisen valvontaan. 

Lokien käsittelyn roolit ja vastuut 

Lokitietojen käsittelyyn osallistuvien roolit ja vastuut tulee olla hyvin suunniteltuja ja tehtäviin liittyvään tarpeeseen perustuvaa. Jokaisen lokien käsittelyyn osallistuvan roolin haltijan tulee ymmärtää omaan roolinsa liittyvät vastuut ja velvollisuudet. Lokitietojen käsittelyssä tulee noudattaa erityistä huolellisuutta. 

Käsittelyyn liittyvät roolit ja vastuut on esitetty liitteessä "Lokienhallinnan roolit ja vastuut". 

Poikkeukset 

Näistä periaatteista on mahdollista poiketa dokumentoidusti ja riskiarvion pohjalta. Poikkeukset hyväksyy tämän dokumentin omistaja. 

 

Liite 1: lokienhallinnan roolit ja vastuut 

Tämän liitteen tarkoituksena on esittää ne roolit ja vastuut, jotka liittyvät vain lokienhallintaan ja jotka eivät ole osa roolille jo muualla määritteltyjä vastuita. 

 

Rehtori 

  • Hyväksyy lokipolitiikan 

  • Vastaa periaatteiden toteuttamisedellytyksistä 

Järjestelmän omistaja 

  • Vastaa lokien suunnittelusta, tarveperusteen määrittelemisestä, toteuttamisesta sekä näiden dokumentoinnista omistamiensa järjestelmien osalta. 

  • Vastaa edellisen kohdan toteutumisesta asiantuntijoiden avustuksella. Toteuttamisen hankinta ulkopuoliselta toimijalta ei poista vastuuta. 

Tietohallintojohtaja 

  • Vastaa lokienhallinnan teknisistä ja hallinnollisista edellytyksistä 

Tietoturvapäällikkö 

  • Vastaa lokienhallinnan tietoturvan valvonnasta ja vaatimustenmukaisuudesta 

  • Vastaa lokienhallinnan ohjeistuksesta 

Tietosuojavastaava 

  • Valvoo tietosuojaperiaatteiden toteutumista. 

  • Osallistuu henkilötietojen tietoturvapoikkeamien käsittelyyn 

Järjestelmän vastuuhenkilö 

  • Vastaa järjestelmän tuottaman lokin ohjeistuksen mukaisesta käsittelystä 

 

Liite 2: Lokityypit 

Tämä liite tukee lokipolitiikkaa kuvaten esimerkinomaisesti erilaisia lokityyppejä suositeltavine minimisisältöineen. Listatut lokit eivät muodosta tyhjentävää listaa eikä suositukset ole määrääviä. Muutokset suositeltaviin on mahdollisia, jos järjestelmä/sovellus ei sellaisia pysty tuottamaan tai ei ole muuten mielekästä kerätä kyseistä tietoa. Muutokset suositellaan kirjattavaksi osana lokidokumentaatiota. 

Liite on tarkoitettu lokien suunnittelua tekevälle, lokien keruusta vastaavalle, lokien kanssa toimivalle henkilöstölle sekä lokituksesta kiinnostuneille. 

Lokityyppejä 

Ylläpitoloki 

Ylläpitolokilla ylläpidetään tietoa järjestelmän toimintaan, päivitykseen tai konfiguraatioon tehdyistä muutoksista ja järjestelmän ylläpidon käyttöoikeuksien muutoksista sekä hallitaan virhetilanteita. Ylläpitoloki on tarpeellinen versionhallinnassa ja toimintaympäristön kokonaisarkkitehtuurin seurannassa. 

Suositeltavat 

  • aikaleima 

  • sisään- ja uloskirjautumiset 

  • Käyttäjätunnus tai muu tunniste, rooli, mistä IP:stä, millä päätelaitteella (esim. konsoli, etäyhteys, UserAgent) 

  • epäonnistuneet sisäänkirjautumiset ja niiden syy 

  • ylläpitotunnuksiin liittyvät muutokset 

  • mitä on tehty (esim. laitteeseen/käyttöjärjestelmään/sovellukseen tehdyt toimenpiteet/muutokset/lisäykset) 

Lisäksi voi olla tarpeellista lokittaa 

  • virhetilanteet liittyen ylläpitoon, muutokseen tai päivitykseen 

  • laitteelta luetut tai haetut tiedot esim. raportointia varten (esim. diagnostiikkatieto, konfiguraatiotieto, jne.) 
     

Käyttöloki 

Käyttöloki on tavallisin ja välttämättömin lokimuoto. Se rekisteröi käyttäjien sisään- ja uloskirjautumiset, normaaleja järjestelmän sekä järjestelmässä suoritettavien sovellusten suorittamia toimintoja. Järjestelmän moduulit saattavat jättää jäljen käyttölokiin kutsuessaan toisia moduuleita. 

Suositeltavat 

  • sisään- ja uloskirjautumiset 

  • järjestelmän käyttäjätunnus tai muu käyttäjätunniste, rooli, mistä IP-osoitteesta, millä päätelaitteella  (esim. konsoli, etäyhteys, UserAgent) 

  • epäonnistuneet sisäänkirjautumiset ja niiden syy 

  • sisäänkirjautumisaika ja uloskirjautumisaika 

  • käyttäjien tai käyttöoikeuksien muutokset 

  • tiedostojen tai tietojen luonti ja poistaminen 

  • tiedostojen tai tietojen muokkaaminen, jos kyseessä henkilötiedot tai luottamukselliset tiedot 

  • tiedostojen tai tietojen katselu, kopiointi, tulostaminen tai lataaminen, jos kyseessä arkaluonteiset henkilötiedot tai salaiset tiedot 

 Lisäksi voi olla tarpeellista lokittaa 

  • moduli, joka kutsui tai jota kutsuttiin 

  • järjestelmän käytön kannalta oleellinen tieto 

  • käytöstä aiheutuneet virhe/häiriö/suorituskykytilanteet 
     

Muutosloki 

Muutoslokiin kirjautuu merkinnät tietojen lisäyksistä, poistoista ja muutoksista sekä järjestelmiin tehtävistä muutoksista. Muuttuneen tiedon alkuperä on pystyttävä selvittämään lokimerkinnöistä, jotta sen oikeellisuus voidaan tarvittaessa jäljittää ja varmistaa. Muutoslokin tiedot voivat olla osa ylläpito- tai käyttölokia. 
 

Virheloki 

Virheloki on tarpeellinen ongelmatilanteiden selvittämisessä. Kun virheen syy kirjataan lokiin mahdollisimman tarkasti, sen aiheuttaja on helpompi korjata. 

Suositeltavat 

  • käytöstä aiheutuneet virhe/häiriö/suorituskykytilanteet 

Lisäksi voi olla tarpeellista lokittaa 

  • määrä, kapasiteetti, ennuste näiden muutoksista 

  • laitteen tai järjestelmän itse tuottama tapahtuma- ja suorituskykytieto omasta toiminnastaan 
     

Viestintäloki 

Viestintäloki voi sisältää tiedot kulkeneesta viestinnästä: viestin alkuperän, päätepisteen ja muita tietoja kuten ajankohdan, määrän, yksikäsitteisen tunnisteen ja tilan. Teletunnistetiedot ovat tällaisia viestintälokitietoja. Sähköposti-, ryhmätyö- ja pikaviestipalvelut tuottavat viestintälokia. 

 Suositeltavat 

  • viestinnän osapuolet 

  • viestinnän aloitus sekä lopetus tai kesto 

  • tunnistetiedot 
     

Haltijaloki 

Haltijaloki kertoo, kenelle jokin nettiosoite, puhelinnumero tai verkkodomain on kuulunut tiettynä ajanhetkenä. Haltijatieto voidaan yhdistää suoraan henkilöön, organisaatioon tai järjestelmään. 

Suositeltavat 

  • IP-osoite, url 

  • haltijan tunniste 

  • yhteystiedot 
     

Pääsynvalvontaloki 

Pääsynvalvontaloki kertoo sisään- ja uloskirjautumisista, sekä onnistuneista että epäonnistuneista. Pääsynvalvontalokia analysoimalla voidaan tunnistaa tietoturvapoikkeamia: onko yritetty murtaa salasanoja tai kirjautua jo vanhentuneilla käyttäjätunnuksilla. Pääsynvalvontalokin tiedot voidaan kerätä ylläpito- ja käyttölokiin. 
 

Debug-loki 

Debug-loki sisältää virhetilanteiden selvittämistä varten erikseen lokitettuja lisätietoja järjestelmän tai järjestelmässä toimivan sovelluksen toiminnasta. Nämä lokitiedot pyritään ohjaamaan erillisiin tiedostoihin ja poistamaan heti vianselvittämisen jälkeen.  

Lokivalvontaa tekevälle ylläpitäjälle asetetut velvoitteet

  • Lokivalvontaa suorittavat nimetyt ja koulututut henkilöt ovat allekirjoittaneet vaitiolositoumuksen tai heillä on työsuhteeseensa kuuluva vaitiolovelvollisuus ja hyväksikäyttökielto työtehtäviä hoitaessaan tietoonsa saamistaan työtehtäviin liittymättömistä asioista sekä niiden olemassaolosta. Työtehtäviin liittyvistä ei-julkisista asioista saa keskustella vain sellaisten henkilöiden tai viranomaisten kanssa, joita sitoo sama vaitiolovelvollisuus, ja joiden työtehtäviin käsiteltävä asia kuuluu.​

  • Ylläpitohenkilöstöä koskee ylläpito-säännön noudattamisvelvoite sekä rikkomustilanteissa raskaammat seuraamukset.​

  • Kerättyä tietoa ei käytetä kuin siihen tarkoitukseen mihin laki ne määrää tai tietojärjestelmien suojaaminen sitä vaatii. Tietoja käsittelevä ryhmä on rajattu ja varsin pieni.​

  • Lokitietoja ei pääsääntöisesti luovuteta kuin viranomaiselle. Viranomaisen pyytäessä tietojen luovuttamiseen tarvitaan asianomaiset luvat ja asiakirjat.​

  • Ylläpitäjää sitoo erityisesti rikoslain 40 luvun 5 §. Sen mukaan hallinnoija ei saa oikeudettomasti paljastaa tai hyödyntää palvelusuhteensa aikana tai sen päätyttyä tehtävänsä tai asemansa vuoksi tietoonsa saamiaan salassa pidettäviä tai muita sellaisia asioita, joita ei saa lain mukaan paljastaa. Tällaisia ovat esimerkiksi käyttäjien yksityisasiat.​

Lokipolitiikka on osa IT-käyttösääntöjä

Tämä lokipolitiikka on käsitelty liitteineen Korkeakouluyhteisön YT-ryhmässä 18.9. 2020 ja Tampereen Ammattikorkeakoulun YT-ryhmässä 26.10.2020. Lokipolitiikka on osa korkeakouluyhteisön it-palveluiden käyttösääntöjä.

Julkaistu: 23.9.2020
Päivitetty: 29.4.2022