Kaugtöö ja turvalisus

1 Eesmärk
2 Käsitlusala
3 Põhimõtted
- 3.1 3.1. Sobivus
  - 3.1.1 3.2. Üldnõuded turvaliseks kaugtööks
  - 3.1.2 3.3 Riskiriikide külastamine
  - 3.1.3 3.4. Füüsiline turvalisus
  - 3.1.4 3.5. Suhtlus ja koostöö
  - 3.1.5 3.6. Intsidentidest teavitamine
  - 3.1.6 3.7. Seire
  - 3.1.7 3.8. Koolitus ja teadlikkus
4 Vastutus ja rollid

Eesmärk

Käesoleva juhendi eesmärk on kehtestada nõuded kaugtöö korraldamiseks Tallinna Tehnikaülikoolis, et tagada infoturbe nõuded täidetud vastavalt ISO/IEC 27001 standardile ning parimatele praktikatele. Poliitika aitab tagada kaugtöö sujuva korralduse, turvariskide tõenäosuse vähendamise ning töötajate ja ülikooli vara kaitse. Eeskiri tugineb riskide hindamisele ja infoturbe maastiku analüüsile ning uuendatakse sellele vastavalt pidevalt ja vastavalt vajadusele.

Käsitlusala

See juhend kehtib kõigile Tallinna Tehnikaülikooli töötajatele, lepingulistele töötajatele ja kolmandate osapoolte teenusepakkujatele, kes teevad kaugtööd või kellel on kaugtööks ligipääs ülikooli süsteemidele ja andmetele.

Kaugtööks lubatud seadmed ja profiilid määratakse lõppkasutajate seadmete haldamise eeskirja alusel:

täielikus keskhalduses olevad Windows-seadmed,
keskhaldusega Windows-seadmed privilegeeritud õigustega,
ülikooli poolt soetatud, kuid mittehallatud seadmed,
BYOD-seadmed (kasutajate isiklikud seadmed).

Iga profiili nõuded ja vastutus tulenevad eelnevalt mainitud eeskirjast ning on kohustuslik arvesse võtta ka kaugtöö tegemisel.

Lisaks tehnilistele ja turvanõuetele lähtutakse kaugtöö puhul töökorralduse eeskirjast, mis reguleerib tööaega, ohutusnõudeid ning tööandja ja töötaja vastastikuseid õiguseid ja kohustusi.

Põhimõtted

3.1. Sobivus

Kaugtöö sobivus määratakse kindlaks tööülesannete iseloomu põhjal. Kaugtöö sobivus ja korraldus lepitakse kokku töötaja ja tema otsese juhiga vastavalt töökorralduse eeskirjale.

3.2. Üldnõuded turvaliseks kaugtööks

Kaugtööd tehes on rangelt soovitatav või allpool väljatoodud põhjustel kohustuslik kasutada TalTech-i VPN ühendust (juhend VPN-i kasutamiseks).
Kasutajatele on antud ligipääsuõigused, mida piiritletakse nende tööülesannete läbiviimiseks vajalike kasutajagruppide õigustega. Kasutajad peavad ennast autentima mitmefaktorilise autentimise või TalTech-i paroolipoliitikale vastava mehhanismi kaudu ning kaugtööd on rangelt soovitatav teha üle VPN-ühenduse.
Kaugtööd tuleb teostada turvalise ja parooliga kaitstud Wi-Fi võrgu kaudu. Paremaks arusaamiseks toome välja, millised avalikud võrgud on aksepteeritavad:
- hotelli võrk, mis on parooliga kaitstud ning kasutajale on jagatud eraldi parool: soovitatav on seda võrku kasutada üle VPN ühenduse. Sellegipoolest ei ole soovitatav kasutada sellist võrku näiteks pangaülekannete tegemiseks või tundlike või isikuandmeid sisaldavate süsteemide haldamiseks.
- konverentsi tarbeks üles pandud parooliga kaitstud võrku võib kasutada, soovitatav on kasutada VPN-i.
- avalik kohviku, turismipunkti või muu ilma paroolita võrku ei ole lubatud kasutada tööks kasutatavate seadmetega ning madala kaitse tõttu ei ole seda soovitatav teha ka isiklike seadmetega.
- Kasutajad, kes töötavad priviligeeritud õigustega, administreerivad servereid, koodihoidlaid või muid kriitilisi süsteeme, mis sisaldavad isikuandmeid (personali süsteemid, ÕIS vms) ei ole lubatud avalikke võrke kasutada ka üle VPN-i.
Võimalusel on soovitatav avaliku/võõra võrgu kasutamise asemel kasutada telefoni hotspot’i (NB! Reisides viia end kindlasti kurssi kohalike internetimahu tasudega, vajadusel kooskõlasta tööandjaga).

3.3 Riskiriikide külastamine

Riskiriikideks loetakse sanktsioonide või muude tööülesannetest tulenevate piirangute (julgeolekuluba) all olevaid riike. Reeglina ei ole nendes riikides kaugtöö tegemine lubatud või soovitatav, seda põhjusel, et vaatamata turvalistele ühendustele võidakse seadmete liiklust jälgida või neid kompromiteerida.

Taolisteks riikideks on (suvi 2025 seisuga):

Armeenia Vabariik
Aserbaidžaani Vabariik
Hiina Rahvavabariik (sh Hongkongi ja Macau erihalduspiirkonnad)
Iraani Islamivabariik
Kasahstani Vabariik
Kirgiisi Vabariik
Korea Rahvademokraatlik Vabariik
Tadžikistani Vabariik
Türkmenistan
Usbekistani Vabariik
Valgevene Vabariik
Venemaa Föderatsioon

Juhul kui nende riikide külastamine on möödapääsmatu, siis on soovitatav nendesse reisimisel võtta kaasa uued või puhtad seadmed, milles ei sisaldu tundlikku tööülesannete täitmiseks töödeldavat infot. Nendest riikidest naastes on soovitatav tuua seadmed IT-osakonda puhastamiseks.

3.4. Füüsiline turvalisus

Kaugtöökoht peab asuma turvalises ja eelnevalt töötaja enda poolt hinnatud keskkonnas, kus volitamata isikutel pole juurdepääsu TalTechi teabele ja varale või TalTechi jaoks töödeldavale infole.
Kaugtööks kasutatavad seadmed peavad olema lukustatud kui neid ei kasutata ning neid ei tohi jätta järelevalveta avalikesse kohtadesse.

3.5. Suhtlus ja koostöö

Kaugtöö ajal tuleb tööalaste arutelude ja andmete jagamiseks kasutada TalTech-i poolt heakskiidetud suhtlusvahendeid ja platvorme.
Regulaarne suhtlus otsese juhi ja meeskonnaliikmetega on vajalik, et tagada töö sujuv kulg.

3.6. Intsidentidest teavitamine

Kõik turvaintsidendid või infoturbe rikkumised tuleb viivitamatult teatada TalTech-i IT-osakonnale.
Töötajad peavad järgima TalTechi intsidentidest teavitamise protseduure, et maandada intsidentidest tulenevaid riske ja vähendada potentsiaalset kahju.
Lisaks tuleb koheselt teavitada seadme kadumisest või vargusest, viiruskahtlusest, volitamata ligipääsust või BYOD/mittehallatud seadmete puhul võimalikust tundlike andmete lekkest.

3.7. Seire

TalTech-i IT-osakond viib regulaarselt läbi seiret, et tuvastada kõrvalekaldeid, mis viitavad infoturbe rikkumistele või ohtudele.

3.8. Koolitus ja teadlikkus

Kaugtööd tegevad töötajad peavad läbima kohustusliku infoturbe ja kaugtööalase koolituse ning hoidma ennast kursis vastavate eeskirjadega.
Kaugtöö tegemiseks on oluline olla kursis nõuannetega turvalise töökoha seadistamiseks, salasõnade kaitseks ning intsidentide ärahoidmiseks ja käsitlemiseks.

Vastutus ja rollid

Töötajad peavad järgima turvalise kaugtöö põhimõtteid ning infoturbe poliitikast tulenevaid juhiseid, samuti teavitama koheselt võimalikest turvaintsidentidest.
Juhid peavad tagama, et kaugtöö korraldus sobib töötaja tööülesannetega ja et töötajad on teadlikud ning järgivad kehtestatud turvameetmeid.
IT-osakond vastutab keskhalduses olevate seadmete kaugtööks vajalike tööriistade ja süsteemide turvalisuse eest, tagades vastavuse infoturbe standardile.
Personaliosakond haldab kaugtöö heakskiitmise protsessi ja tagab, et kõik töötajad on teadlikud kehtivatest kaugtöö poliitikatest ja läbinud vastava koolituse.

Vastavus

Käesoleva juhendi aluseks olevate eeskirjadest tulenevate nõuete eiramine võib kaasa tuua distsiplinaarmeetmeid, sealhulgas hoiatusi, kaugtöö õiguste peatamist või äärmuslikel juhtudel töösuhte lõpetamise. Kõik rikkumised uuritakse ja käsitletakse vastavalt TalTech-i kehtivatele töösisekorra eeskirjadele.

Ülevaatus

Seda juhendit vaadatakse üle kord aastas ning ajakohastatakse vastavalt vajadusele, et tagada selle jätkuv vastavus regulatiivsetele standarditele, TalTechi tegevusvajadustele ning võimalikele riskihinnangutest tulenevatele muutustele.