Vaasan yliopiston tietojärjestelmien ja tietoverkkojen käyttösäännöt

1. Johdanto

1.1 Tavoitteet

Vaasan yliopiston tavoitteena on tarjota opiskelijoilleen ja henkilökunnalleen hyvät mahdollisuudet tietojärjestelmien ja tietoverkkojen käyttöön. Hyvien työskentelyolojen, palveluiden ja työrauhan turvaamiseksi on kaikkien käyttäjien tunnettava velvollisuutensa järjestelmien ja verkkoyhteyksien käytössä sekä noudatettava yhteisesti hyväksyttyjä sääntöjä. Yliopiston ulkoinen kuva ja asema tietoverkkojen yhteisössä muodostuvat omasta toiminnastamme tietoverkoissa. Sääntöjen tehtävänä on ohjata käyttäjiä ja ylläpitäjiä turvallisiin ja hyväksyttäviin toimintatapoihin.

1.2 Soveltamisala

Näitä sääntöjä sovelletaan kaikkiin Vaasan yliopiston hallinnassa olevien, yliopiston verkkoon liitettyjen tietokonejärjestelmien ja tietoverkkojen sekä sellaisten tietojärjestelmien käyttöön, joiden käyttömahdollisuus tai –oikeus on saatu yliopiston kautta. Järjestelmiin luetaan mukaan yleisessä käytössä olevat työasemat.

Niissä yhteisöissä, joihin Vaasan yliopiston tietojärjestelmät ovat yhteydessä, ovat voimassa vastaavat säännöt hyväksyttävästä käytöstä ja käytön etiikasta. Yhteisöistä tärkeimmät ovat FUNET ja Nordunet.

Näissä säännöissä tietojärjestelmien ja -verkkojen vastuuyksiköitä kutsutaan järjestelmien ylläpitäjiksi.

Rehtori ja tietohallintojohtaja voivat tarvittaessa sallia poikkeuksia näistä säännöistä. Näitä sääntöjä voidaan muuttaa ilman henkilökohtaista ilmoitusta käyttäjälle. Muutokset voivat astua voimaan välittömästi.

Yliopiston tietohallinnon johtoryhmä ja atk-keskus voivat antaa sääntöjä täydentäviä ohjeita. Järjestelmien ylläpitäjät voivat antaa laitteiden, ohjelmistojen tai verkkojen käyttöön liittyviä erillisiä ohjeita.

2. Käytön periaatteet

2.1 Perusperiaatteet

Säännöt perustuvat seuraaviin perusperiaatteisiin: (1) kaikilla tulee olla mahdollisuus asialliseen käyttöön opetuksessa, opiskelussa, tutkimuksessa, hallinnossa ja muussa yliopiston toiminnassa, (2) muille käyttäjille ei saa aiheuttaa vahinkoa tai haittaa ja (3) yksityisyyden suojaa ja tietoturvallisuutta on kunnioitettava.

2.2 Käyttöoikeus ja sen rajoitukset

Vaasan yliopiston läsnäolevilla opiskelijoilla, opettajilla, tutkijoilla ja muulla henkilökunnalla on oikeus käyttää yliopiston ylläpitämiä tietotekniikkapalveluita tehtävissä, jotka liittyvät välittömästi opiskeluun, opettamiseen, tutkimukseen, hallintoon tai niiden tukipalveluihin Vaasan yliopistossa.

Yliopiston tietojärjestelmien ylläpidossa otetaan huomioon kansalaisten oikeus yksityisyyteen ja viestintäsalaisuuteen. Yliopisto kuitenkin pidättää itselleen oikeuden määrätä, minkälaista materiaalia ja mihin tarkoitukseen sen hallinnoimissa tietojärjestelmissä saa käyttää ja tallentaa. Sama koskee yliopiston hallinnoiman tietoliikenneverkon tietoliikennettä.

Sähköpostin ja muiden verkkopalveluiden käyttö yksityisiin tarkoituksiin on vain vähäisessä määrin sallittua. Käyttö yliopiston ulkopuoliseen poliittiseen, aatteelliseen ja kaupalliseen sekä lain tai hyvän tavan vastaiseen toimintaan on kiellettyä.

Käyttäjän tulee ottaa huomioon muut järjestelmän käyttäjät. Muille käyttäjille tai tietoverkossa oleville organisaatioille tai tietojärjestelmille ei saa aiheuttaa suoraan tai epäsuorasti häiriötä, haittaa tai vahinkoa. Tietojärjestelmien ja tietoliikenneyhteyksien käytössä on noudatettava kohtuutta. Haittaa syntyy esimerkiksi tietojärjestelmän tai tietoverkon kapasiteetin tuhlailevasta käytöstä.

Käyttäjä ei saa kiertää asetettuja kiintiöitä eikä muita käyttöä koskevia rajoituksia. Myös sellaisen yrittäminen on kiellettyä.

Järjestelmien tunnettuja tai uusia tietoturva-aukkoja ei saa käyttää millään tavalla. Myös niiden etsiminen on kiellettyä ilman järjestelmän ylläpitäjän myöntämää erityistä lupaa. Käyttäjällä ei ole oikeutta estää tietojärjestelmien ja –liikenteen käytöstä syntyvien lokitietojen ja muiden kirjausten syntymistä tai muuttaa niitä.

Järjestelmien ylläpitäjät suorittavat järjestelmien käytön valvontaa. Järjestelmän ylläpito voi antaa käyttäjille järjestelmän toimivuuden tai turvallisuuden kannalta tärkeitä ohjeita.

Mikäli atk-järjestelmän luonne tai käyttötarkoitus sitä edellyttää, on järjestelmän käyttäjällä vaitiolovelvollisuus järjestelmän tietosisällöstä, käyttötavoista, sen turvatasosta ja ominaisuuksista siten kuin järjestelmän käytöstä annetut määräykset ja järjestelmää tai sen sisältämiä tietoja koskeva lainsäädäntö vaatii.

2.3 Käyttäjän vastuu

Hyvien työskentelyolosuhteiden saavuttamiseksi käyttäjien tulee tuntea vastuunsa järjestelmien käytöstä ja ottaa huomioon muut käyttäjät. Järjestelmiä on käytettävä lakeja, annettuja ohjeita, huolellisuutta ja hyviä tapoja noudattaen. Kukin käyttäjä vastaa tunnuksellaan tapahtuvasta toiminnasta myös silloin, kun toinen henkilö suorittaa sen hänen suostumuksellaan tai tieten.

Käyttäjä on itse vastuussa sähköpostiviestiensä, kotisivujensa ja muiden tietoaineistojen sisällöstä, laillisuudesta ja hyvien tapojen mukaisuudesta.

Sähköpostin käyttäjille suositellaan viestien salakirjoitusta eli kryptausta silloin, kun se on tarjolla postiohjelmiston ominaisuutena.

2.4 Käyttölupa

Tietojärjestelmien käyttö perustuu käyttölupaan, jonka saadakseen käyttäjä sitoutuu noudattamaan näitä sääntöjä sekä muita Vaasan yliopiston tietotekniikkapalveluista annettuja sääntöjä ja ohjeita. Käyttöluvan saadessaan käyttäjille annetaan nimettyihin palvelintietokonejärjestelmiin henkilökohtaiset käyttäjätunnukset, salasanat ja mahdollisesti muut käyttöavaimet määräajaksi.

Käyttöluvan voivat saada yliopiston opettajat, tutkijat, muut henkilökuntaan kuuluvat ja läsnäoleviksi ilmoittautuneet opiskelijat. Käyttöluvan voimassaolo päättyy samalla, kun käyttäjän jäsenyys yliopistoyhteisöön päättyy.

Tiedekirjaston tietojärjestelmien käytössä noudatetaan omia erillisiä sääntöjä.

Atk-luokassa työskentelevällä opiskelijalla tulee olla mukana opiskelijakortti, joka on pyydettäessä esitettävä tarkastusta tekevälle henkilölle.

2.5 Käyttäjätunnus ja salasana

Käyttäjätunnusta, siihen liittyvää salasanaa ja käyttöavaimia tulee käsitellä huolellisesti väärinkäytösten ehkäisemiseksi. Niitä ei saa luovuttaa missään tilanteessa muiden käyttöön. Tämä koskee myös opetuskäyttöön jaettavia kurssitunnuksia.

Salasana on vaihdettava aina välittömästi, jos se on mahdollisesti tullut jonkun muun tietoon. Hyvä turvallisuuskäytäntö edellyttää, että salasana muutenkin korvataan riittävän usein uudella ja hyvänlaatuisella salasanalla.

Erityistä huolellisuutta on käytettävä tunnuksellisten yhteyksien uloskirjoittautumisessa. Edelliseltä käyttäjältä avoimeksi jäänyt yhteys on pyrittävä välittömästi sulkemaan ja ilmoittamaan asiasta kyseiselle käyttäjälle omalla tunnuksella. Jos uloskirjoittautuminen ei onnistu, on tilanteesta ilmoitettava välittömästi järjestelmän ylläpitäjälle.

Jokaisen käyttäjän tulee toimia aina omalla nimellään ja henkilökohtaisella tunnuksellaan järjestelmiä ja verkkoyhteyksiä käyttäessään. Poikkeuksen muodostavat opintojakson opetukseen käytettävät kurssitunnukset. Niitä saa käyttää vain kurssin opetuksen yhteydessä.

Opettaja vastaa opetuksessaan tarvitsemiensa kurssitunnusten käytöstä ja siitä, että tunnukset poistetaan käytöstä kurssin jälkeen.

Henkilökohtaista tunnusta edellyttävän järjestelmän käyttö tai sellaisen yrittäminen ilman omaa tunnusta, väärällä tunnuksella tai muuttamalla oman tunnuksen oikeuksia on kiellettyä.

Tietoliikenneyhteyksiä yliopiston tietoliikenneverkon ulkopuolelle saa ottaa vain henkilökohtaisella käyttäjätunnuksella. Henkilöllisyyttä ei saa kätkeä tai väärentää.

2.6 Käyttäjän velvollisuudet

Hyvien käyttömahdollisuuksien turvaamiseksi käyttäjiltä edellytetään, että kukin huolehtii omalta osaltaan kokonais- ja järjestelmäkohtaisen tietoturvallisuuden säilymisestä. Käyttäjien velvollisuutena on ilmoittaa havaitsemistaan turvallisuusaukoista ja turvallisuuden loukkaamisista järjestelmän ylläpitäjälle. Ilmoitus on pyrittävä tekemään huomiota herättämättä.

Tietokonetta käyttävän tulee varmistua siitä, että siirrettävä muistiväline tai tiedosto ei sisällä viruksia tai muita järjestelmien toimintaa haittaavia ominaisuuksia. Yliopisto ei vastaa välittömästi tai välillisesti atk-luokkien kautta mahdollisesti leviävistä viruksista.

Järjestelmien ylläpitäjät vastaavat palvelinkoneiden levyille talletettujen tietojen säännöllisestä varmuuskopioinnista. Käyttäjät vastaavat itse tiedostojensa ja hakemistojensa suojauksista.

Käyttäjät vastaavat itse työasemilla olevien tiedostojen suojaamisesta ja varmistamisesta.

Vaikka järjestelmien ja tietoverkon käytettävyys ja turvallisuus pyritään pitämään mahdollisimman korkeana, ei häiriöiltä ja väärinkäytöksiltä voida kokonaan välttyä. Järjestelmien ylläpitäjät eivät voi taata järjestelmissä ja tietoverkossa turvallisuuden, luottamuksellisuuden ja tiedon eheyden säilymistä. Vastuu tietoaineistojen säilyttämisestä on viime kädessä aineiston haltijalla.

Käyttäjän tiedot poistetaan tietokonejärjestelmistä ja tietoliikenneverkosta käyttöoikeuden voimassaolon päätyttyä. Yliopistolla ei ole velvollisuutta ottaa vastaan tai säilyttää käyttäjän sähköpostiaineistoa eikä muuta tietoaineistoa käyttöoikeuden päättymisen jälkeen.

Toiselle käyttäjälle kuuluvien tai häntä koskevien ei-julkisten tietojen etsiminen ja lukeminen ei ole sallittua, ellei siihen ole saatu kyseiseltä käyttäjältä selkeää lupaa. Mikäli käyttäjä kuitenkin saa vahingossa haltuunsa hänelle kuulumattomia tietoja, on niiden kaikenlainen hyväksikäyttö, levittäminen tai säilyttäminen kiellettyä. Tieto tapahtumasta on mahdollisimman pian välitettävä järjestelmän ylläpitäjälle ja asianomaiselle käyttäjälle.

Järjestelmissä havaituista vioista ja puutteista tulee ilmoittaa järjestelmän ylläpitäjälle tai atk-keskuksen HelpDeskiin.

2.7 Käytön rajoituksia

Yliopiston tietojärjestelmien ja –verkkojen käyttäminen muihin järjestelmiin murtautumiseen on kiellettyä. Kielto koskee myös murtautumisen yrittämistä.

Sopimattomina pidettävät toimintatavat, kuten asiattomat joukkopostitukset, ketjukirjeet, mainokset, automaattisesti leviävät tiedostot ja muutokset (tietokonevirusten levittäminen) sekä niin sanottu hyvien tapojen vastainen materiaali, ovat kiellettyjä. Kiellettyjä ovat sellaiset postitukset, joita vastaanottajat eivät halua vastaanottaa.

Hyvin isoja viestejä tulee välttää. Erityisesti isojen materiaalien lähettämistä postilistoille tulee välttää. Tietoaineistojen ja ohjelmien siirtämiseen tulee käyttää ensisijaisesti tiedostonsiirtopalveluita.

Sähköpostia saa käyttää massajakeluun vain yliopiston tarpeita palvelevassa viestinnässä. Postilistoja saa käyttää vain ylläpitäjän luvalla. Niiden sisältöä ja käyttöä voidaan tarvittaessa rajoittaa.

Käyttäjillä ei ole lupaa tehdä muutoksia yhteiskäyttöisiin tietokonelaitteistoihin, tietoliikennelaitteisiin tai niiden ohjelmistoihin. Mikäli muutokseen on pakottavaa tarvetta, siihen on saatava ylläpitäjän myöntämä lupa.

Ohjelmien ja muiden tiedostojen oikeudettomien kopioiden luonti, hallussapito, käyttö ja levittäminen ovat kiellettyjä.

3. Ylläpidon periaatteet

Järjestelmien ylläpitäjien tavoitteena on huolehtia hyvien työskentelyolosuhteiden tarjoamisesta.

Ylläpitäjät huolehtivat siitä, että järjestelmien käyttösäännöt ja niihin liittyvät ohjeet ovat käyttäjien saatavilla sekä siitä, että järjestelmiin tehtävistä muutoksista tiedotetaan ja annetaan tarvittaessa riittävästi opastusta.

Laitteiden liittämiseksi Vaasan yliopiston sisäiseen tietoliikenneverkkoon on oltava atk-keskuksen lupa. Liittämisessä tulee noudattaa atk-keskuksen antamia ohjeita.

Ylläpidon vastuuhenkilöillä on velvollisuuksiensa hoitamiseksi lupa valvoa, rajoittaa ja säädellä tietokone- ja verkkojärjestelmien käyttöä ja toimintaa. Ylläpidon vastuuhenkilöillä on oikeus tutustua tai muulla tavoin puuttua käyttäjien tiedostoihin, sähköpostiviestien sisältö pois lukien, ja verkkoliikenteeseen ilman käyttäjältä saatua lupaa vain ja ainoastaan, mikäli järjestelmän häiriötilanteen selvittäminen tai toimintakuntoon palauttaminen sitä edellyttää tai on perusteltua syytä epäillä rikollista toimintaa tai muuta järjestelmän käyttöön kohdistuvaa väärinkäyttöä. Ylläpidolla on oikeus olla välittämättä viestejä eteenpäin.

Käyttäjien hakemistot sisältävät alustustiedostoja, joilla ohjataan erilaisten ohjelmien toimintaa. Järjestelmän ylläpito voi tehdä niihin muutoksia osana normaalia ylläpitotoimintaa. Lisäksi ohjelmien alustustiedostoja voidaan lukea koneellisesti ylläpidon toimesta osana normaalia turvallisuustyötä. Järjestelmän hakemistoissa ja käyttäjän kotihakemistoissa olevia tilapäistiedostoja voidaan poistaa osana normaalia levytilan ylläpitoa.

Ylläpitäjät voivat asentaa järjestelmiinsä ohjelmia, joilla etsitään haitallista tietomateriaalia, kuten virukset ja massapostitukset, sekä estetään niiden leviämistä.

Ylläpitäjät nimeävät ylläpidon vastuuhenkilöt. Luettelo ylläpidon vastuuhenkilöistä pidetään käyttäjien saatavilla.

Järjestelmien ylläpitäjillä on salassapitovelvollisuus luottamuksellisten tietojen suhteen. Mitään järjestelmän käytön seurannan tai ylläpidon yhteydessä saatua tietoa ei saa väärinkäyttää.

Ylläpitäjien tulee hoitaa käyttäjähallinto ja lokitietojen käsittely riittävää huolellisuutta noudattaen yksityisyyden loukkaamattomuus säilyttäen.

4. Seuraamukset väärinkäytöstä

Tietojärjestelmien ja tietoverkon väärinkäytöllä tarkoitetaan kaikkea sellaista tahallista tai tuottamuksellista toimintaa, joka (1) aiheuttaa haittaa tai vahinkoa järjestelmän käyttäjille sen varsinaiseen tarkoitukseen, (2) aiheuttaa haittaa tai vahinkoa toiseen tietojärjestelmään tai ympäristöön, johon järjestelmä on yhteydessä, (3) rikkoo annettuja sääntöjä, (4) käyttää sellaisia järjestelmän osia tai ominaisuuksia, joiden käyttöä ei ole selkeästi osoitettu käyttäjän luvallisesti käytettäväksi, tai (5) on järjestelmän ylläpitäjän tai omistajan kieltämää.

Tietojärjestelmien ja tietoverkkojen väärinkäyttötapauksiin sovelletaan ensisijaisesti yliopiston omia selvitys- ja rajoitustoimia. Ylläpitäjän tulee ottaa jokainen epäilty väärinkäyttö tutkittavaksi. Väärinkäyttöä epäiltäessä on vastuuhenkilöillä oikeus rajoittaa tai estää järjestelmän käyttöä tutkinnan ajaksi. Käyttäjään on otettava yhteys mahdollisimman nopeasti selvityksen saamiseksi. Yliopisto ei vastaa muille käyttäjille väärinkäytöstä aiheutuneesta vahingosta tai häiriöstä, jos yliopisto ei ole siitä lain mukaan vastuussa.

Palvelussuhteessa olevien vakavat väärinkäytökset voidaan käsitellä siten kuin virkamies- ja työsopimuslaissa on sanottu työnantajan antamien ohjeiden noudattamatta jättämisen seuraamuksista. Muiden kuin palvelussuhteisten väärinkäytökset käsitellään siten kuin yliopistolaissa on määrätty.

Väärinkäyttötapauksissa opiskelijoille voidaan määrätä väliaikainen käyttökielto. Käyttöluvan peruuttamisesta ja kurinpitotoimista opiskelijoille päättää yliopiston rehtori. Lievissä väärinkäyttötapauksissa vastuuhenkilö tai yksikön esimies voi antaa käyttäjälle huomautuksen. Tarvittaessa asia voidaan siirtää muiden viranomaisten tutkittavaksi.

Väärinkäyttäjä voidaan asettaa vahingonkorvausvastuuseen. Väärinkäytetyistä resursseista voidaan opiskelijalta periä hinnaston mukaiset korvaukset ja selvitystyön aiheuttamat kustannukset.

Käyttäjien tulee ottaa huomioon, että atk:n käyttöä säänteleviä määräyksiä on annettu lainsäädännössä, kuten henkilötietolaissa, rikoslaissa ja tekijänoikeuslaissa.

5. Sääntöjen käyttöönotto

Näitä sääntöjä noudatetaan Vaasan yliopistossa 20. huhtikuuta 2001 alkaen.