6 Turvallisuusjärjestelmien käyttö ja ylläpito
Tässä luvussa ohjeistetaan, mitä turvallisuusjärjestelmien käytössä ja ylläpidossa on otettava huomioon ja mitä on tehtävä, jotta järjestelmät toimivat moitteettomasti.
6.1 KÄYTTÖ
Turvallisuusjärjestelmien käyttö sisältää kaikki ne tehtävät ja huomioon otettavat asiat, jotka takaavat järjestelmien oikeanlaisen toiminnan.
Tärkeintä turvallisuusjärjestelmien käytössä on perehdyttää käyttäjät kiinteistössä oleviin järjestelmiin, niiden ominaisuuksiin ja toimintoihin. Käyttäjille järjestetään säännöllisin väliajoin käyttökoulutuksia, joissa annetaan opastusta järjestelmien oikeanlaiseen käyttöön. Käyttökoulutuksien avulla pyritään vähentämään järjestelmien vääränlaista käyttöä ja niistä johtuvia virhehälytyksiä.
Turvallisuusjärjestelmien käytössä ja koulutuksissa hyödynnetään laitetoimittajien valmiita käyttöohjeita. Käyttöohjeista laaditaan tarvittaessa selkeät tiivistelmät käyttäjille.
Turvajärjestelmien normaalin toiminnan lisäksi käyttäjille tulee kertoa, mitä heidän tulee tehdä ja miten toimia järjestelmien muissa toimintatilanteissa, kuten hälytys-, häiriö- ja vikatilanteessa.
6.2 YLLÄPITO
Turvallisuusjärjestelmän elinkaarella tarkoitetaan aikajaksoa järjestelmän asennuksesta sen pois purkamiseen, eli aikaa jolloin järjestelmää käytetään sen suunniteltuun tarkoitukseen. Tyypillisesti elinkaaren aikana järjestelmälle tehdään ylläpitävää ja korjaavaa huoltoa sekä muutoksia ja laajennuksia. Lisäksi järjestelmän käyttöön tulee usein muutoksia ja ohjelmistot vaativat päivityksiä ja laajennuksia. Mitä paremmin elinkaaren hallinta on suunniteltu, toimintamalleista sovittu ja niitä noudatettu, sitä luotettavammin ja pidempään turvallisuusjärjestelmä on toiminnassa.
Turvallisuusjärjestelmän laitteiden huolto ja ylläpito on suositeltavaa toteuttaa tekemällä erillinen toimeksiantosopimus huoltopalveluista. Sopimuksessa sovitaan mm. ennakkohuolloista ja vikakorjausten hoitamisesta sekä molemminpuolisista vastuista ja velvoitteista turvallisuusjärjestelmän ylläpidossa.
Ennakkohuollot
Ennakoivalla huollolla ja säännöllisellä toimintojen tarkastuksella varmistetaan laitteiden toimintakyky ja turvallisuustason säilyminen. Ennakkohuollossa tulee huomioida laitetoimittajien suositukset laitteiden huoltoon ja huoltoväliksi. Tyypillisesti ennakkohuollot tehdään 1–2 kertaa vuodessa riippuen järjestelmästä ja käyttöolosuhteista.
Toimivuuden valvonta
Useissa järjestelmissä on mahdollista hyödyntää järjestelmien ominaisuuksia toimintahäiriöiden valvontaan, niin että järjestelmän oma ns. vikadiagnostiikka ilmoittaa havaitsemistaan laitteiden tai tietoliikenneyhteyksien häiriöistä. Tämä nopeuttaa toimintahäiriöiden havaitsemista sekä korjaavan huollon aloittamista.
Korjaava huolto
Korjaavan huollon tarkoitus on palauttaa turvallisuusjärjestelmä vikatilanteesta takaisin normaaliin toimintaan. Riippuen kohteen turvallisuustasosta ja vikatilanteen vaikutuksen laajuudesta on suositeltavaa sopia korjaustöille huoltopalvelun taso (SLA, Service Level Agreement) huoltosopimuksessa. SLA voi sisältää esimerkiksi seuraavat määrittelyt:
- huoltopalveluiden saatavuus ja palveluajat
- korjauksen aloituksen vasteaika
- korjauksen valmistumisen vasteaika
- etähuoltotöiden mahdollisuus tietoliikenneyhteyksien avulla
- varaosien saatavuus huoltoliikkeen varastossa tai asiakkaan kohteessa.
Taulukko 4. Esimerkki ennakkohuolto-ohjelman huoltolomakkeen sisällöstä.
Ohjelmistojen käyttötuki ja ylläpito
Turvallisuusjärjestelmien toiminta on rakennettu sovellusohjelmistojen pohjalta, ja ne vaativat myös säännöllist 8; ylläpitoa sekä käyttötukea. Tyypillisesti ohjelmistot toimivat tietokonealustoilla, joissa pohjalla toimii jokin yleisesti käytössä oleva käyttöjärjestelmä. Ohjelmistojen säännöllisellä päivittämisellä varmistetaan turvallisuusjärjestelmän sovellusohjelmistojen yhteensopivuus uusimpiin käyttöjärjestelmiin sekä saadaan käyttöön ohjelmistojen uudet ominaisuudet. Turvallisuusjärjestelmien ohjelmistojen uusien versioiden julkaisun sykli riippuu ohjelmistovalmistajasta ja voi vaihdella useammasta versiosta vuoden aikana muutamaan vuoteen.
Ohjelmistojen ylläpidosta ja tukipalveluista suositellaan tehtäväksi erillinen toimeksiantosopimus. Sopimuksessa sovitaan mm. ohjelmistojen päivityksistä ja tukipalveluiden sisällöstä sekä molemminpuolisista vastuista ja velvoitteista.
Ohjelmistotukipalveluiden toimeksiantosopimuksessa sovittavia asioita:
- ohjelmistotukipalveluiden saatavuus ja palveluajat
- tukipalvelun aloituksen vasteaika
- tukipalvelutöiden mahdollisuus tietoliikenneyhteyksien avulla
- uusien ohjelmistojen elinkaari ja päivitysten sykli.
Ylläpidon hallinta
Järjestelmään tehtävien huolto- ja ylläpitotöiden hallittavuuden kannalta on oleellista, että kaikki tehdyt toimenpiteet tulevat kirjattua ns. huoltokirjaan. Huoltokirja voi olla asiakkaalla käytössä oleva sähköinen järjestelmä tai huoltoliikkeen oma toiminnanohjausjärjestelmä, minne työt kirjataan ja mistä tehdyt toimenpiteet ovat jälkikäteen löydettävissä.
Huoltokirjaan kirjataan
- huoltoraportit ennakkohuolloista
- vikakorjausten huoltoraportit
- ohjelmistotöiden huoltoraportit
- järjestelmään tehdyt muutostyöt, joiden osalta myös järjestelmädokumentaatio tulee päivittää ajan tasalle.
Käyttöön ja ylläpitoon liittyviä ST-kortteja ja -lomakkeita on esitetty liitteessä 1.
MUISTILISTA
Ylläpito
- huoltopalvelut
- ennakkohuollot ja niiden huoltovälit
- toimivuuden valvonta
- korjaava huolto ja huoltopalvelun taso
- ohjelmistojen tukipalvelut
- huoltokirja.
6.3 VALVONTAPALVELUT
Mikäli turvallisuusjärjestelmien lähettämiä hälytys- ja tilatietoja tai turvallisuusjärjestelmien toimivuuteen liittyviä valvontatietoja halutaan valvoa tai hyödyntää muita etävalvontapalveluita, tulee järjestelmä liittää hälytyskeskuspalveluihin. Hälytyskeskuspalveluiden tuottamiseen suositeltavia ja päteviä vartiointiliikkeitä on Finanssiala ry:n ylläpitämässä vaatimukset täyttävien liikkeiden luettelossa (www.vahingontorjunta.fi).
Valvontapalveluihin liittymiseen tarvitaan toimivat tietoliikenneyhteydet ja yhteensopivat tiedonsiirtolaitteet turvallisuusjä rjestelmän ja valvontapalveluita tuottavan vartiointiliikkeen välille. Tietoliikenneyhteydet voidaan toteuttaa kiinteällä tietoliikenneyhteydellä tai mobiiliverkon avulla tai molemmilla, jolloin mobiiliverkon yhteys toimii varayhteytenä.
Hälytyskeskuspalveluista tehdään erillinen valvontapalveluiden toimeksiantosopimus. Sopimuksessa sovitaan valvontapalveluiden sisällöstä ja laajuudesta.
Valvontapalveluita voivat olla mm.
- murtoilmaisujärjestelmän hälytykset ja käyttötiedot
- kameravalvontajärjestelmän kautta tehtävät etävalvontatoimenpiteet
- etäohjaustoimenpiteet, esim. porttien aukaisu ja sulkeminen
- kiinteistövalvonnan hälytystiedot
- paloilmoitinjärjestelmän ilmoituksensiirtoyhteyden valvonta (paloilmoitinjärjestelmän varsinaiset hälytystiedot liitetään ja valvotaan hätäkeskuksessa)
- turvallisuusjärjestelmien toimivuuden valvonta.
Valvontapalveluiden tuottamiseen liittyy myös asiakkaan ja palveluntuottajan välillä sovittava toimenpideohjeistus, jossa sovitaan, miten eri hälytyksiin ja valvontatietoihin hälytyskeskuksessa reagoidaan ja mitä jatkotoimenpiteitä niiden perusteella käynnistetään.
6.4 TIETOTURVAN HALLINTA
Tietoturvavaatimusten huomioiminen on tärkeää paitsi järjestelmien suunnittelu-, hankinta- ja toteutusvaiheessa myös järjestelmien käyttö- ja ylläpitovaiheessa järjestelmien luotettavan toiminnan varmistamiseksi.
Käytönopastuksessa käyttäjille annetaan perehdytys järjestelmän oikeanlaiseen käyttöön, ja siihen on syytä sisällyttää myös oleelliset tietoturvaan liittyvät asiat, kuten käyttäjätunnusten ja salasanojen hallinta. Salasanakäytännöt tulee ohjeistaa, ja niissä tulee ohjata käyttämään vahvoja salasanoja: vaaditaan esimerkiksi tietty määrä tietyn tyyppisiä merkkejä sekä vaaditaan vaihtamaan salasana tietyin väliajoin. Oletussalasanoja ei tule käyttää.
Koska järjestelmien käyttöoikeuksiin tulee usein muutoksia, järjestelmillä on hyvä olla omasta organisaatiosta tehtävään koulutuksen saanut pääkäyttäjä, joka voi antaa käyttöoikeuksia tai poistaa niitä. Käyttöoikeuksien hallinta on myös syytä olla ohjeistettu ja ohjeistuksessa määritelty, millä perusteella oikeuksia annetaan tai ollaan antamatta. Määräajoin tulee myös varmistaa, että tunnukset on poistettu henkilöiltä, jotka eivät enää ole organisaation palveluksessa.
Etäkäytössä ennalta määritellyt henkilöt pystyvät hallitsemaan järjestelmää paikasta riippumatta tyypillisesti internetiä tai muuta verkkoyhteyttä hyödyntäen, mikä helpottaa ja nopeuttaa mahdollisiin ongelmiin ja muutostarpeisiin reagointia. Suunniteltaessa järjestelmän ylläpitoa tulee päättää, sallitaanko järjestelmän etäkäyttö ja jos sallitaan, mitkä ovat sallitut tekniikat ja miten varmistetaan pääsy etäkäyttöön vain niille henkilöille, joilla on siihen valtuutus.
Pilvipohjaiset valvomopalvelut ovat yksi tapa järjestää etäkäyttö. Niitä käytetään useimmiten verkkoselaimella tai erillisellä tietokoneelle tai mobiililaitteelle asennettavalla ohjelmalla. Ne toimivat usein julkisessa internetissä, jolloin on syytä käyttää liikenteen salausta. Myös hyvän käyttäjätunnuksen ja vahvan salasanan merkitys korostuu. Pilvipalveluita käytettäessä moni tietoturvaan liittyvä vastuu on käyttäjän sijaan pilvipalvelun toimittajalla. Palveluita hankittaessa kannattaa varmistua, että palveluntarjoajalla on edellytykset toteuttaa lupaamansa palvelutaso ja että sen tietoturvaan liittyvät käytännöt on dokumentoitu. Koska järjestelmän toiminta pilvipalveluita käytettäessä voi olla ainakin osittain riippuvainen verkkoyhteyksistä, tulee huomioida järjestelmän toiminta silloin, kun verkkoyhteys ei ole saatavilla.
Järjestelmien toiminnan jatkuvuuden varmistamiseksi varmuuskopioinnilla mahdollistetaan järjestelmän palautus poikkeustilanteissa. Näitä voivat olla esimerkiksi laiterikot, tahattomat käyttäjien virheet tai tahalliset tietoturvaloukkaukset tai muut vahingonteot. Useimmissa järjestelmissä on mahdollista tehdä varmuuskopiointi automaattisesti ja ajastetusti. Myös varmuuskopioiden sijainti tulee suunnitella, ja niiden säilytyksessä on huomioitava, että varmuuskopio sisältää yleensä järjestelmästä paljon tietoa, joka joutuessaan vääriin käsiin voi aiheuttaa vahinkoa.
Nykyaikaiset verkkoon liitettävät ja ohjelmistopohjaiset järjestelmät vaativat ajoittain ohjelmistopäivityksiä,
jotta tietoturva ja toiminta pysyvät hyväksyttävällä tasolla. Järjestelmien ja laitteiden päivitysten tulee olla osa järjestelmän ylläpitoa, ja on suunniteltava etukäteen, kenen toimesta ja milloin päivitykset tehdään. Ennalta on myös hyvä selvittää päivitysten kustannukset, joihin voivat vaikuttaa esimerkiksi mahdolliset lisensseihin liittyvät kulut ja se, voidaanko työ tehdä etänä vai vaatiiko se paikan päällä käyntiä.
Kaikilla järjestelmillä ja niiden laitteilla on elinkaari, jonka aikana niitä toimitetaan ja ylläpidetään. Elinkaarisuunnittelussa on tärkeää ottaa huomioon myös tietoturva ja varmistettava muun muassa laitteiden saatavuus ja teknisen tuen säilyminen. Elinkaaren hallinnassa on otettava huomioon kaikki järjestelmän kannalta olennaiset osat mukaan lukien ohjelmistot ja käyttöjärjestelmät.
Tietoturvan hallintaa on käsitelty laajemmin mm. julkaisuissa ST 710.02 Sähkö- ja tietoteknisten järjestelmien tietoturva ja ST-ohjeisto 22 Verkottuneen talotekniikan tietoturva.
MUISTILISTA
Tietoturvan hallinta
- käytönopastus ja tietoturvakäytännöt
- pääkäyttäjän nimeäminen, käyttöoikeuksien hallinta ja ohjeistaminen
- etäkäyttötekniikat, -salaukset ja dokumentointi
- pilvipalveluiden saatavuus, jatkuvuus ja käyttäjähallinta sekä tietoturvaan liittyvät vastuut
- varmuuskopiointi
- ohjelmistopäivitykset
- elinkaaren hallinta.
6.5 SÄÄDÖSPERUSTEISIA KÄYTÖN JA YLLÄPIDON ERITYISPIIRTEITÄ
Lainsäädäntö asettaa vaatimuksia turvallisuusjärjestelmien käytölle ja ylläpidolle. Säädösperusteisia kä ytön ja ylläpidon erityispiirteitä on koottu liitteeseen 4.
Turvallisuusjärjestelmien lainsäädäntöä on käsitelty myös luvussa 9 Turvallisuusjärjestelmien lainsäädäntö ja ohjeet.