Tietoturva tietosuoja tietojärjestelmissä

Koko: px
Aloita esitys sivulta:

Download "Tietoturva tietosuoja tietojärjestelmissä"

Transkriptio

1 Tietoturva tietosuoja tietojärjestelmissä Pirkko Nykänen & Antto Seppälä

2 TIETOSUOJA Henkilötietojen käsittely turvattava ja henkilötiedot suojattava asiattomalta käsittelyltä tietojen valtuudettoman saannin ja käytön estäminen tietojen luottamuksellisuuden säilyttäminen yksityisyys ja oikeusturva TIETOTURVA Laitteistot, ohjelmistot, tietoliikenneyhteydet ja tiedot on suojattava fyysisesti, teknisesti ja toiminnallisesti asiaintila, jossa uhat eivät aiheuta merkittävää riskiä keinojen ja toimenpiteiden kokonaisuus, joilla varmistetaan turvallisuus sekä normaaleissa että poikkeustilanteissa Pirkko Nykänen & Antto Seppälä

3 Tietoturvapolitiikka ja ohjeet Yleiset periaatteet eettiset periaatteet ja lait (kulttuurisidonnaisuus) EU ja kansalliset periaatteet EU direktiivit, lait ja normatiiviset ohjeet Ohjeistukset - palvelujen ja teknologian toteutuksesta riippumattomia Toimenpiteet - hallinnolliset ja tekniset toimenpiteet, käyttöönotto-ohjeet, teknologia- ja organisaatioriippuvuus Pirkko Nykänen & Antto Seppälä

4 Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) Kehittää, yhteensovittaa ja ylläpitää valtionhallinnon tietoturvallisuuden tavoitteita, toiminta-, organisointi- ja resurssilinjauksia sekä normeja, ohjeita ja suosituksia Kehittää tietoturvallisuutta osana hallinnon kaikkea toimintaa ja edistää tietoturvallisuuden integrointia osaksi hallinnon prosesseja, tehtäviä, palveluita ja järjestelmiä Valmistelee ja yhteensovittaa valtioneuvoston ja valtiovarainministeriön linjauksia hallinnon tietoturvallisuudesta sekä seuraa ja edistää niiden toimeenpanoa Edistää hallinnon tietoturvakulttuuria ja henkilöstön tietoturvatietoisuutta Valmistelee ja käsittelee hallinnon organisaatioiden tietoturvallisuuden tavoitetasot ja edistää niiden toimeenpanoa ja auditointia Seuraa ja arvioi hallinnon tietoturvallisuutta, varautumista, kansallista ja kansainvälistä kehitystä sekä määrittelee tarvittavat linjaukset, normit ja toimenpiteet Käsittelee ja yhteensovittaa hallinnon kansainvälisen tietoturvayhteistyön linjauksia ja vaikuttamista kansainvälisessä tietoturvatyössä Ohjaa ja käsittelee valtion IT-strategian toimeenpanon tietoturvallisuutta ja varautumista sekä organisoi näiden alueiden kehittämisohjelman ohjauksen. araykset/index.jsp Pirkko Nykänen & Antto Seppälä

5 Tasapaino tietoturvan ja tietosuojan sekä käytännön tarpeiden välillä Tieto saatavuus käytettävyys muuttumattomuus päätöksenteon tuki Asiakkaan yksityisyys itsemääräämisoikeus informointi osallistuminen Kohde ja sen ominaisuudet määrittelevät tietoturvan tason Pirkko Nykänen & Antto Seppälä

6 Tietoturva Tietoturvallisuudella tarkoitetaan tiedoista, tietojärjestelmistä, tietoliikenteestä sekä henkilöistä aiheutuvien riskien hallintaa Tietoturvallisuus on toiminnallinen kokonaisuus, jonka perustana ovat organisaation turvallisuuskulttuuri ja ihmisten toiminta Tietoturvallisuus on laaja käsite, joka ei koske pelkästään teknisiä ratkaisuja, kuten laitteistoa ja sovelluksia, vaan siihen oleellisesti kuuluvat myös ihmisten toiminta ja turvatoiminnan yleiset järjestelyt Organisaation tieto ja tietojärjestelmät ovat sen toiminnan ja toimintakyvyn kannalta olennainen osa ja tietoturvallisuuden lähtökohtana on turvata tiedon käytettävyys, eheys ja luottamuksellisuus Pirkko Nykänen & Antto Seppälä

7 Tietoturva Tietoturvallisuudella varmistetaan Organisaation toimintaympäristö Arkaluontoiset tiedot ja liiketoimintatiedot Turvataan asiakkaiden / sidosryhmien / kansalaisten yksityisyys ja tietojen salassapito Tietoturvallisuus edellyttää johdon sitoutumista ja riittäviä resursseja Tietoturva käsittää tietoturvaorganisaation, tietojen käsittelijöiden toimintatavat, tietojen turvaamisen menetelmät, kontrollit, välineet ja toimenpiteet, sekä eri välineistöjen, ohjelmistojen ja tilojen tietoturvaominaisuudet. Pirkko Nykänen & Antto Seppälä

8 Milloin tieto on turvassa? Onko tiedot turvassa jos henkilöstöllä on vahvat salasanat? Onko tiedot turvassa jos järjestelmien päivitykset ovat ajan tasalla? Onko tiedot turvassa jos meillä on palomuuri käytössä? Paraneeko tietoturva ikinä? Pirkko Nykänen & Antto Seppälä

9 Tietoturvan tavoitteet Tietoturvan päätavoite on CIA Confidentiality of information Tiedon luottamuksellisuus Integrity of information Tiedon eheys Availability of resources Tietoresurssien käytettävyys / saatavuus Pirkko Nykänen & Antto Seppälä

10 Luottamuksellisuus Liittyy tietosuojan ja yksityisyyden käsitteisiin Luottamuksellisuudella tarkoitetaan kykyä suojata tieto valtuudettomalta käytöltä, eli tiedot ovat vain niihin oikeutettujen käytettävissä Uhkia tiedon käsittelyprosessin eri vaiheissa Tiedon luottamuksellisuudelle on uhkana esim. kannettavan tietokoneen katoaminen, huolimaton tiedon käyttö, väärä sähköpostiosoite, erilaiset järjestelmähyökkäykset, henkilöstö Luottamuksellisuuden menettämisellä voi olla vakavat seuraukset kaikille osapuolille Pirkko Nykänen & Antto Seppälä

11 Tiedon eheys Tiedon täydellisyys ja muuttumattomuus syötön, käsittelyn, arkistoinnin ja tiedonsiirron aikana Tiedot eivät saa muuttua eivätkä hävitä virheiden / luvattomien toimenpiteiden seurauksena koko tiedon elinkaaren aikana Eheyden takaamiseksi tietojen valtuudeton muuttaminen on pystyttävä estämään, sekä muutoksista pitää pystyä toipumaan, undo Eri sovellukset voivat käsitellä samaa tietoa, joten eheyden takaaminen on usein ongelmallista ja se vaatii laajaa ymmärrystä organisaation tietovarannoista ja tietovirroista Kriittinen ominaisuus mikäli tietoa pyritään käyttämään päätöksenteon tukena Pirkko Nykänen & Antto Seppälä

12 Tiedon eheys Rikkomukset tiedon eheydelle ovat erityisen hankalia havaita Kolme tiedon ominaisuutta: alkuperäisyys, kiistämättömyys ja koskemattomuus Tiedon alkuperä pitää pystyä varmistamaan Kiistämättömyys, eli tiedon käsittelijä ei voi kiistää tiedonkäsittelytapahtumaa Koskemattomuudella tarkoitetaan ettei tietoa ole muokattu tai muutettu Pirkko Nykänen & Antto Seppälä

13 Tiedon käytettävyys / saatavuus Tieto pitää olla helposti ja viiveettä niiden käytettävissä joilla on siihen oikeus Erilaiset katkokset haittaavat käytettävyyttä Sähkökatkot, järjestelmähäiriöt, ylläpitotoimet, verkkokatkokset, laiteviat, palvelunestohyökkäykset (DoS, denial of service) Tietojen käytettävyys tulevaisuudessakin, esim. arkistointi Pirkko Nykänen & Antto Seppälä

14 Tietoturvakäsitteitä Tietoturvaloukkaus: oikeudeton puuttuminen tietoturvaan Tietoturvauhka: potentiaalinen sisäinen tai ulkoinen vahingoittava tapahtuma, yleensä ympäristöstä riippuvainen (vrt. Windows ja Linux) Haavoittuvuus: tarkoitetaan yleensä heikkouksia turvallisuudessa joita voidaan hyväksikäyttää Tietoturvariski: uhan todennäköisyys ja mahdollisen vahingon merkittävyys Tietoturva-aukko: ohjelmistoon tai sen suojaukseen liittyvä haavoittuvuus Tietoturvahyökkäys: toimenpiteitä, joiden tarkoituksena on vahingoittaa tai käyttää oikeudettomasti tietojärjestelmää tai verkkoa Tietomurto: suojattuun tietojärjestelmään tai verkkoon tapahtuva tunkeutuminen Tietojen kalastelu (phishing): roskapostiin perustuvia huijausyrityksiä Pirkko Nykänen & Antto Seppälä

15 Haittaohjelma Usein puhutaan ns. malwaresta eli malicious software Erilaisia ohjelmia tai ohjelmien osia joiden tarkoituksena aiheuttaa ei-toivottuja tapahtumia Virus, mato, vakoiluohjelma, nuuskija, troijalainen, yms. Spyware, adware, rootkit Saastuneet nettisivut, muistitikut, sähköposti, haavoittuvuudet Uhkia koko CIA-kolmikolle Tietokoneen kaappaus Pirkko Nykänen & Antto Seppälä

16 Uhat, hyökkäykset Yleinen jako neljään kategoriaan Kaappaus (Interception) Hyökkäys luotettavuutta kohtaan, valtuudeton pääsy tietoon tai järjestelmään Häirintä, keskeytys (Interruption) Tiedon tuhoaminen tai tiedon, palvelun tai järjestelmän muu käytön esto Muuttaminen (Modification) Tiedon, palvelun tai järjestelmän valtuudeton muuttaminen Väärentäminen (Fabrication) Tiedon valtuudeton syöttäminen järjestelmään Pirkko Nykänen & Antto Seppälä

17 Kontrollit Riskien minimoimiseksi on olemassa keinoja, kontrolleja miten varautua erilaisiin uhkiin Fyysiset kontrollit Keskittyvät suojaamaan fyysistä ympäristöä Missä järjestelmät, tieto ja toiminta Kulunvalvonta, lukot, portit, kamerat, vartijat Lämmitys, ilmastointi, palohälyttimet, varavirtajärjestelmät Kriittinen tietoturvan takaamiseksi Pirkko Nykänen & Antto Seppälä

18 Kontrollit Loogiset kontrollit Ns. tekniset kontrollit Keskittyvät suojaamaan järjestelmiä, verkkoja ja tiedon käsittelyä ja ympäristöjä Salasanat, salaus, pääsynhallinta, palomuurit, tunkeilijoiden havaitsemisjärjestelmät Hallinnolliset kontrollit: Perustuvat sääntöihin, asetuksiin, lakeihin, käytäntöihin, ohjeistuksiin Säännöt ja ohjeistukset jotka määrittelevät miten organisaatiossa toimitaan ja käyttäydytään liittyen tietoturvaan Pirkko Nykänen & Antto Seppälä

19 Fyysinen turvallisuus Fyysinen turvallisuus Henkilöstö Tiedot Laitteistot Asiattomat henkilöt: kulunvalvonta, lukot, portit, kamerat, vartijat Luonnonkatastrofit ja ympäristö: lämmitys, ilmastointi, palohälyttimet, varavirtajärjestelmät Tietojen ja laitteistojen fyysinen suojaus: fyysinen media ja koko elinkaari Tilojen luokittelu: Perustasosta täyssuojaukseen, esim. Vahti 1/2002 Pirkko Nykänen & Antto Seppälä

20 Tietoliikenne Palomuuri hallinnoi verkkoliikennettä Sisäverkko <-> julkinen verkko Sijoitetaan suojaamaan eri luottamustason verkkoja Pääsyoikeudet voidaan määritellä monella tavalla: Protokolla Portit Pakettien perusteella (esim. alkuperä/kohde ip) Proxy-palvelin tietyn liikenteen filtteröintiin ja käytön seurantaan Tunkeilijoiden havaitsemisjärjestelmät Langattoman verkon salaaminen (WEP, WPA, WPA2) Salattu tiedonsiirtoprotokolla Palvelinvarmenne + salaus (esim. SSL-/TLS) Järjestelmäallekirjoitusvarmenne (esim. siirrettävä potilasasiakirja) Määriteltävä käytettävät tiedonsiirto- ja suojausmenetelmät, teknologiat ja tekniset standardit, sanomavälitys ja jäljitettävyys, omistus ja valtuudet sekä vastuut Pirkko Nykänen & Antto Seppälä

21 Yritysverkon sisäiset työasemat Sovellus palvelin WWWpalvelin Tietoturvapalvelin Bull CP8 DES salausmoduli Palomuuri Internet Reititin X.500 Hakemisto Yrityksen verkkoon ulkopuolelta tulevat työasemayhteydet Pirkko Nykänen & Antto Seppälä 21

22 Tietoliikenneturvallisuus Nykyiset tietojenkäsittely-ympäristöt ovat hyvin riippuvaisia tietoliikenneyhteyksistä Tietoliikenneturvallisuuden tavoitteena on turvata organisaation tietoliikenne ja varmistaa välitettävien tietojen luottamuksellisuus, eheys ja käytettävyys Kaikki tietoliikenteeseen liittyvät asiat, kuten verkkojen rakentaminen ja suunnittelu Protokollat Salausmenetelmät Verkkotypologiat Tietoturvatuotteet (esim. reitittimet, palomuurit) Tarkoituksena on varmistaa: sanomien alkuperäisyys, koskemattomuus ja luottamuksellisuus lähettäjä ja vastaanottaja sekä todentaa heidät tietoliikennelaitteiden fyysinen turvallisuus Pirkko Nykänen & Antto Seppälä

23 Tietoliikenneturvallisuus Tietoliikennelaitteiston: Kokoonpano Luettelointi Ylläpito Muutosten valvonta Ongelmatilanteiden kirjaus Käytön valvonta Verkon hallinta Viestinnän salaus ja varmistaminen Tietoturvapoikkeamien tarkkailu, kirjaus ja selvittäminen Tietoliikenneohjelmien testaus ja hyväksyttäminen Lähde: Andreasson & Koivisto, 2013 Pirkko Nykänen & Antto Seppälä

24 Laitteistoturvallisuus Turvata organisaation tietojenkäsittely- ja tietoliikennelaitteiden käytettävyys, toimivuus, ylläpito ja saatavuus Tarkoituksena on suojata laitteistot siten, että mahdollisuudet niiden varastamiseen, väärinkäyttöön ja vahingoittumiseen on estetty Asennukset, takuut ja palvelu- ja ylläpitosopimukset Tukipalvelut ja hävitys Eri laitteiden turvallisuuden suunnittelu, esim. palvelimet, tietokoneet, puhelimet Pirkko Nykänen & Antto Seppälä

25 Ohjelmistoturvallisuus Ohjelmistoturvallisuuden tavoitteena on turvata tietojenkäsittelypalveluiden eheys, luottamuksellisuus sekä sovelluksissa käsiteltävien tietojen saatavuus Käyttöjärjestelmien ja ohjelmistojen turvallisuus ja ajantasaisuus Käyttöjärjestelmien ja ohjelmistojen haavoittuvuudet on yksi suurimmista heikkouksista hyökkäyksiä vastaan Jokainen ohjelmisto on riski Haittaohjelmat Käyttöjärjestelmät, tietoliikenneohjelmistot, tietoturvaohjelmistot ja ohjelmistot Ohjelmistojen hankinnat, kehitystyöt, käyttöönotot, ylläpitotoimet ja alasajot tulee olla huolella suunniteltuja tietoturvallisia prosesseja Dokumentointi ja järjestelmäluokittelu Pääsynhallinta, käyttäjänhallinta sekä käyttäjien todentaminen Voidaan määritellä luotettavasti, kuka saa ja pääsee käyttämään tietoja sekä sovelluksia Pirkko Nykänen & Antto Seppälä

26 Tietoaineistoturvallisuus Tarkoituksena turvata asiakirjojen, tiedostojen ja muiden tietoaineistojen käytettävyys, eheys ja luottamuksellisuus Organisaatioiden kaikki tieto, joka on toiminnan kannalta merkittävää, on suojattava sekä dokumentoitava Organisaation tiedot ja tietojärjestelmät on suojattava siten, että työntekijöillä on pääsy vain niihin tietoihin, jotka ovat välttämättömiä heidän työtehtäviensä kannalta Tietojen ja tietojärjestelmien luokittelu, käsittelysäännöt ja omistajuus Käyttöoikeusprosessit, salassapitosopimukset Eri tietoaineistojen koko elinkaaren kestävät suunnitellut prosessit Pirkko Nykänen & Antto Seppälä

27 Käyttöturvallisuus Tavoitteena on parantaa tietotekniikan käytön, käyttöympäristön, tietojenkäsittelyn ja ylläpidon turvallisuutta Jatkuvuus- ja toipumissuunnitelmat Tietojärjestelmien operointi- ja hallintatoimet Valmiussuunnitelmat Palvelutasosopimukset Käytön valvonta Etäkäyttöpolitiikka Pirkko Nykänen & Antto Seppälä

28 Loogiset kontrollit Ns. tekniset kontrollit Keskittyvät suojaamaan järjestelmiä, verkkoja ja tiedon käsittelyä ja ympäristöjä Salasanat, salaus, palomuurit, tunkeilijoiden havaitsemisjärjestelmät Tunnistaminen Väite mitä tai kuka jokin on Todentamien Väitteen totuuden määrittely Käyttövaltuudet ja pääsynhallinta Erilaiset tekniset ratkaisut Pirkko Nykänen & Antto Seppälä

29 Tunnistaminen (identification) Yksinkertaisesti vain väite henkilöllisyydestä Järjestelmä verkossa, sähköposti, käyttäjä Tunnistaminen ei takaa vielä mitään Luotettava tunnistaminen? Henkilöllisyyden vahvistus: passi, henkilöllisyystodistus Tunnistautumisen väärentäminen on mahdollista Henkilöllisyyden asettaminen käyttäjälle, järjestelmälle, prosessille.., Pirkko Nykänen & Antto Seppälä

30 Todennus (authentication) Todennus varmistaa henkilöllisyyden Ihminen, käyttäjä Palvelin, järjestelmä Todennus ei ota kantaa käyttöoikeuksiin tai valtuuksiin Todennukseen on monia eri keinoja, rakentuvat yleensä: Jotain mitä henkilö tietää (esim. salasana, pin-koodi) Jotain mitä olet (esim. biometriikka: kasvot, silmän iriis, sormenjälki ) Jotain mitä sinulla on (esim. fyysinen hallinta, toimikortti, matkapuhelin) Jotain mitä sinä teet (esim. käsiala, salasanan näppäilyrytmi) Kevyt ja vahva tunnistaminen (näkee myös kevyt ja vahva todentaminen) Mu a tunnistaminen todennus Ks. Laki vahvasta sähköisestä tunnistamisesta kahteen todennuskeinoon Pirkko Nykänen & Antto Seppälä

31 Käyttövaltuudet Tunnistaminen + todentaminen -> käyttövaltuudet Käyttövaltuuksien avulla määritellään mitä käyttäjä (tai järjestelmä) saa tehdä Käyttövaltuuksia yleensä hallitaan käytönvalvonnalla (tai pääsynhallinta) (access control) Työkalut seurata ja valvoa tietojärjestelmien käyttöä Tietojen / järjestelmän omistaja päättää ja valvoo, että ketkä ja millä oikeuksilla pääsevät tietoihin tai järjestelmiin Luettelo käyttäjistä ja käyttöoikeuksista Käyttövaltuuksien hallinnointiprosessi Monia erilaisia tapoja määritellä käyttövaltuuksia, nykyään usein rooliperustainen Pirkko Nykänen & Antto Seppälä

32 Käyttövaltuuksien hallinnointi Määriteltävä ja seurattava ketkä pääsevät ja millä oikeuksilla Käyttäjien, ylläpitäjien ja esimiehien on ymmärrettävä vastuut, miten tulee toimia (esim. salasanat) Tietojen käyttö vain tehtävien laajuuden mukaan Tärkeä keino lainmukaisuuden toteuttamiseksi Määriteltävä yksikkö joka on vastuussa käyttövaltuuksien hallinnoinnista -> Jokainen toimintayksikkö ja omistaja on vastuussa Tietojen ajantasaisuudesta, oikeellisuudesta, käytettävyydestä, eheydestä ja tietoihin liittyvien käyttövaltuuksien määrittelystä Rekisterinpitäjä vastaa rekisteritoimintojen lainmukaisuudesta ja henkilötietojen käsittelyn lainmukaisuudesta Pirkko Nykänen & Antto Seppälä

33 Käyttövaltuuksien hallinnointi Erilaiset säännöt, sopimukset ja ohjeistus Määriteltävä miten organisaatiossa käyttöoikeuksia hallinnoidaan Käyttöoikeuksien koko elinkaari ja eri prosessit Työntekijöille käyttö- ja salassapitosäännöt Selkeä ohjeistus ja koulutus Käytön valvonta ja lokitiedot Seuraamuksien määrittely tietoturva- ja tietosuojaloukkauksista Henkilökunnan tiedossa Käyttöoikeusprosessi Hyväksytty ja valtuutettu Dokumentoitu prosessi, käyttäjien valtuudet ja niiden omistajat Pirkko Nykänen & Antto Seppälä

34 Rooliperustaiset käyttövaltuudet Pyritään määrittelemään käyttäjäryhmiä, eli rooleja ja niille asetetaan oikeuksia työtehtävien perusteella Perinteisesti järjestelmissä on rooleja, joille on määritelty erilaisia valtuuksia, eli ns. käyttäjärooleja ja sijoitettu yksittäiset käyttäjät niihin Kankea ja työläs, jos tulee muutoksia Erotetaan käyttäjien työroolit ja käyttäjäroolit Kytketään työroolit käyttäjärooleihin Henkilöllä voi olla useita työrooleja Mahdollisesti vielä rakenteellinen rooli ja toiminnallinen rooli Pirkko Nykänen & Antto Seppälä

35 Käyttäjänhallinta, käyttöoikeus ja käytön valvonta Tunnistaminen Todentaminen Kuka olet Mitä olet Valtuuksien hallinta Roolit Tehtävään liittyvät oikeudet/valtuudet Käytön valvonta Access control Suostumus Käyttötarkoitus IS Tietorakenteet Sensitiivisyys Suojaukset P. Ruotsalainen, Kansallinen terveysprojekti: Usean toimintayksikön yhteinen käyttäjänhallinta Pirkko Nykänen & Antto -periaatteet Seppälä ja suositukset,

36 PKI (public key infrastructure) Yhdistelmä teknologisia ratkaisuja, menettelyjä ja hallinnollisia toimia, jolla mahdollistetaan arkaluonteisen tiedon vaihto turvattomassa ympäristössä Mahdollistaa todentamisen, tiedon salauksen ja digitaalisen allekirjoituksen Yksityinen avain ja julkinen avain (liittyvät toisiinsa tietyllä kaavalla), eli avainpari, yksityisellä avaimella allekirjoitettu tieto voidaan todentaa vain ja ainoastaan julkisella avaimella ja päinvastoin Yksityinen avain, käyttäjällä / palvelimella Julkinen avain on usein luotetun kolmannen osapuolen hallussa, tallennettu varmenteeseen Varmentaja (Certification Authority) antaa varmenteen ja vastaa varmenteesta omalla digitaalisella allekirjoituksellaan Pirkko Nykänen & Antto Seppälä

37 Varmenne Varmenteella tarkoitetaan elektronista dokumenttia, jonka varmentajaorganisaatio myöntää, ja jonka avulla voidaan todistaa varmenteen sisällön kuuluminen asianomaiselle käyttäjälle Julkisen avaimen lisäksi varmenne sisältää myös muita tietoja, kuten henkilön tai organisaation nimen, varmenteen myöntämispäivän, viimeisen voimassaolopäivän, yksilöllisen sarjanumeron, etc. Varmenne sitoo julkisen avaimen identiteettiin Henkilö-, rooli-, laatu-, järjestelmä-, palvelinvarmenne Varmenteet tallennetaan erityiseen hakemistoon Terveydenhuollon varmennepalvelusta vastaa Väestörekisterikeskus Valvira vastaa ammattihenkilöiden ammattioikeuksien ja ammattiaseman tietopalveluista Pirkko Nykänen & Antto Seppälä

38 Varmennusorganisaation peruselementit Palomuuri Korttivalmistaja Varmentaja Hakemisto Rekisteröijä Asiakas Pirkko Nykänen & Antto Seppälä 38

39 Digitaalinen allekirjoitus 39 varmentaja allekirjoittaa digitaalisen dokumentin/ varmenteen omalla yksityisellä avaimellaan allekirjoittaja laskee allekirjoitettavasta viestistä yksisuuntaisen funktion avulla tiivisteen, jonka hän salaa yksityisellä avaimellaan vastaanottaja laskee saamastaan viestistä myös tiivisteen ja vertaa sitä allekirjoittajan julkisella avaimella avaamaansa salattuun tiivisteeseen jos samat = viesti on tullut ehyenä ja sen on allekirjoittanut juuri se henkilö, jonka varmenteen julkista avainta salatun tiivisteen avaamiseen on käytetty Sanoman lähetys OK Selväkielinen sanoma 160-bittinen tiiviste Tiivisteen salaus lähettäjän salaisella avaimella Tiivisteen avaus lähettäjän julkisella avaimella Tiivisteen vertaaminen alkuperäiseen sanomaan Pirkko Nykänen 02/03/2015

40 Varmenne Yleensä 2048 tai 4096 bittisiä RSA-avaimia Henkilövarmenteet (esim. terveydenhuollon varmennekortti) Palvelinvarmenne palvelimen tunnistaminen (server authentication) asiakkaan tunnistaminen (client authentication) Järjestelmäallekirjoitusvarmenne Esim. joidenkin asiakirjojen sähköinen allekirjoitus Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) sekä laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) muodostavat varmennepolitiikan lainsäädännöllisen perustan Pirkko Nykänen & Antto Seppälä

41 Tunnistaminen ja varmenteet VETUMA-palvelu, kansalaisen tunnistaminen ja verkkomaksaminen tunnistus.suomi.fi Tupas-palvelu on Finanssialan Keskusliiton tapa tunnistaa käyttäjä verkkopalveluissa Mobiilivarmenne operaattorien kautta Sähköpostivarmenne, tarkoitettu organisaatioiden käytössä olevien, usean henkilön toimesta seurattavien, yksittäisten sähköpostiosoitteiden käyttöä varten Väestörekisterikeskus älykortti, terveydenhuollon ammattilaisvarmenteet, henkilökohtainen toimikortti Pirkko Nykänen & Antto Seppälä

42 Sovelluskehityksen tietoturvahaasteet Tietojärjestelmän kehittämisprosessissa tietoturvallisuuden huomioiminen koetaan hidastavana Kehittäjät ei aina ole tietoturvatietoisia Tietoturvallisuuden huomioonottamista ei opeteta Tietojärjestelmä voi koostua monesta komponentista, kokonaisuuden tietoturvallisuustaso muodostuu osien tietoturvallisuudesta Pirkko Nykänen & Antto Seppälä

43 Kehittämisessä kiire laatu ja tietoturvallisuus unohdetaan Tietojärjestelmäympäristöt monimutkaistuneet ulkoistaminen, pilvipalvelut, verkottuminen, uudet kielet ja ohjelmointitekniikat Ohjelmoinnissa ei varauduta mahdollisiin hyökkäyksiin (defensiivinen ohjelmointi) virustorjunta, palomuurit, verkkohyökkäysten havainnointiohjelmat Riskianalyysit puutteellisia tai niitä ei tehdä lainkaan Pirkko Nykänen & Antto Seppälä

44 Yhtä tärkeää kuin järjestelmän tietoturva on sovelluskehitystiimin tietoisuus ja osaaminen sovellustietoturvan alueilla Huomioitavia asioita ovat mm. tietoturvan huomioon ottaminen kehitysprosessissa (oli se Scrum, vesiputous tai jokin muu), tietoturvan dokumentoinnin ja katselmoinnin käytännöt, uusien uhkien tunnistaminen, turvalliset suunnittelumallit sekä sovelluksen ja arkkitehtuurikehyksen välinen vastuunjako tietoturvasuojauksissa Tätä tukee usein yrityksen sovelluskehitys-tietoturvaryhmä tai -asiantuntija, joka myös ohjeistaa, linjaa ja neuvoo projekteja tietoturva-asioissa Pirkko Nykänen & Antto Seppälä

45 Tietojärjestelmät Tietojärjestelmät ja ohjelmistot tulisi luokitella tietoturvatasoihin Pääsyhallinta ja turva-asetuksien tarkistus Vastuut ja oikeudet Kuka omistaa järjestelmän, määrittelee vastuut, oikeudet yms. Määritellä järjestelmien tärkeys, tarkoitus, tiedot ja käyttäjät Kriittiset tietojärjestelmät Tietojärjestelmien asianmukainen käyttö tulisi määritellä ja ohjeistaa henkilökunnalle Seuraamukset Eri tietoturvaloukkausten vakavuuden määrittely Millaiset seuraamukset rikkomuksesta Pirkko Nykänen & Antto Seppälä

46 Perinteinen sovelluskehitysmalli Vesiputousmalli tietoturvallisuus otetaan huomioon jokaisessa elinkaaren vaiheessa Suunnitellaan toteutetaan testataan Jokaiselle vaiheelle määritellään tietoturvallisuustehtävät Vaiheesta toiseen siirryttäessä määritellään exit criteria joiden tulee täyttyä Projektin ohjausryhmä seuraa tietoturvallisuuden toteutumista Pirkko Nykänen & Antto Seppälä

47 Ketterät menetelmät tietoturvallisuus sisältyy jokaisen inkrementin, sprintin toteutukseen Tällöin taataan lopullisen tuotteen tietoturvallisuus uhka-analyysi tunnistetaan kaikki riskit ja uhat tietoturvakertomukset security story tavoitteet tietoturvan osalta Väärinkäyttötapaukset abuse casekäyttötapaukset hyökkääjän näkökulmasta Pirkko Nykänen & Antto Seppälä

48 Pilvipalvelut - tietoturvallisuus Infrastruktuuri palveluna IaaS- Infrastructure as a Service Sovellusalusta palveluna PaaS- Platform as a Service Sovellus palveluna SaaS Software as a Service Pilvipalvelulla tarkoitetaan verkon kautta käytettäviä palveluita Pilvipalvelu on toimintamalli jolla yhdistetään uusia ja vanhoja palveluita Tuotantoympäristö pilvipalvelun tuotantomalli jonka mukaan ympäristöä ylläpidetään Pirkko Nykänen & Antto Seppälä

49 Mistä tasosta alkaen sovelluksen käyttäjällä on kontrolli sovellukseen Sovellus omalla palvelimella täysi kontrolli Sovellus toimittajan palvelimella kontrollista osa on toimittajalla Millaiset riskit eri tilanteisiin liittyvät Toimittajat tarjoavat asiakkaiden haluamia ominaisuuksia halvalla ja nopeasti Toimittajat eivät itsekään lupaa että asiakkaiden tiedot ovat riittävästi suojatut Pirkko Nykänen & Antto Seppälä

50 Pirkko Nykänen & Antto Seppälä

51 Pilvipalveluiden tietoturvaongelmia Tiedon häviäminen, tai tietovuoto Tunnusten kaappaaminen Pilviteknologiasta aiheutuva haavoittuvuus, esim rajapinnat Tiedon fyysinen sijainti Omien tietoturvakäytäntöjen ulottuminen ulkopuoliseen palveluun (esim pääsynhallinta) Jaettu alusta, tiedon eristäminen tai salaaminen Pilven rikollinen, häriötä aiheuttava käyttö Uusi konsepti, tuntemattomat uhat Pirkko Nykänen & Antto Seppälä

52 Langattoman tietoliikenteen tietoturva Langaton tiedonsiirto vanhempaa kuin langallinen savumerkit, varoitustulet = vainovalkeat, langaton lennätin, radiolähetykset Langaton tiedonsiirto turvattomampaa langatonta yhteyttä voidaan helposti salakuunnella mobiilit päätelaitteet anonyymejä: voivat joutua vääriin käsiin, liikkuvat --> tarvitaan käyttäjän tunnistus! Langattoman tietoliikenteen tietoturvaa hankaloittaa Heikko laskentateho: turvaprotokollien laskentatarve Rajoitettu muistikapasiteetti, rajoittaa käytettäviä salausmenetelmiä Tehonkulutuksen säästötarve: Akut ja paristot Käytettävyysrajoitukset Tunkeutuminen mobiilipalveluihin: naamioituminen validiksi käyttäjäksi Pirkko Nykänen & Antto Seppälä

53 Langattoman tietoturvan vaatimukset Olemassaolevien tietoturvaratkaisujen sovittaminen langattomaan ympäristöön Eri laitteiden yhteistoiminnallisuuden parantaminen Laitteiden luotettavuuden parantaminen Korkeatasoisen turvajärjestelmän kehittäminen niin, ettei laitteiden käytettävyys kärsi Hyökkäysten estäminen: Tietojen kaappaus, tietojen muuttaminen kryptografinen hyökkäys: murretaan viesti tai käyttäjätietojen salaus Hyökkäjät: Hakkerit, vakoojat, terroristit, yrityshyökkääjät, rikolliset, vandaalit Virusten yms torjunta Pirkko Nykänen & Antto Seppälä

54 Keinoja tietoturvan toteuttamiseksi Tietoturvapolitiikka, jolla suojataan tietoverkot Organisaatioiden henkilöstön tietoturvaohjeet ja koulutus Fyysinen, tekninen ja toiminnallinen tietoturva Tietoturvauhkien ja riskien analysointi Vastatoimien suunnittelu: Avainten ja salasanojen paljastumisen estäminen SIM-kortin joutuminen vieraisiin käsiin estettävä Operaattorin verkon suojaus Salasanojen, avainten yms koodien tallennus tietokannassa Virheet ja toimintahäiriöt verkoissa Pirkko Nykänen & Antto Seppälä

55 Yksityisen käyttäjän suojautuminen Hyvä salasana Käytä vain koneelta jossa ohjelmat on päivitetty, erityisesti selain ja sen lisäosat Älä avaa liitteitä jos et ole varma lähettäjästä /sisällöstä Noudata varovaisuutta palvelujen käytössä Palveluissa on helppo esiintyä toisena henkilönä, varmista oikea henkilöllisyys Työminä vs. nettiminä Harkitse mitä kirjoitat, missä, mitä tietoja itsestäsi annat, älä levitä sosiaaliturvatunnustasi yksityisyys! Pirkko Nykänen & Antto Seppälä

56 Yhteenveto tietoturva suunnittelussa Arkkitehtuuriratkaisuissa huomioidaan eri ratkaisujen yhteensopivuus suositaan standardeja Sovelluksen omistaja hyväksyy kuinka vahvaa tunnistautumista ja luotettavaa identiteettiä sovelluksen käyttöön tarvitaan jos kirjaudutaan käyttäjätunnus/salasanaparilla, salasanan laatuvaatimusten tulee olla konfiguroitavissa: alasanan pituus, ei-aakkosmerkkien lukumäärä, lukkiutuminen määräajaksi virheellisten yritysten jälkeen Käyttäjille vain tarvittavat oikeudet järjestelmiin Käyttö- ja ylläpitotunnusten tulee olla henkilö- ja roolikohtaisia Käyttäjänhallintamenettelyjen tulee varmistaa että tietoturva-asetusten muokkaus on estetty peruskäyttäjiltä Pirkko Nykänen & Antto Seppälä

57 Kaikki ulkopuolelta tullut syöte on tarkastettava ennen käyttöä Sovellusistunto on varmistettava ettei voida kaapata, väärentää, luvattomasti nauhoittaa tai toistaa joutilas istunto on aikakatkaistava Käyttäjätiedot on hallittava ajantasaisesti ja keskitetysti hallintaprosessit ja työnkulut on dokumentoitava Järjestelmästä tulee olla ajantasainen ja kattava dokumentaatio vaatimukset,,määrittelyt, suunnitelmat, testisuunnitelmat ja raportit, turvakuvaukset jne Salausratkaisujen on oltava kansallisen / kansainvälisen tietoturvaviranomaisen hyväksymiä Tietoliikenne tulee salata käyttäjän laitteesta palvelimelle Tunnistautumiseen käytettävät arkaluonteiset tiedot kuten salasanat eivät saa kulkea verkon yli salaamattomina Pirkko Nykänen & Antto Seppälä

58 Organisaation tietojen suojaamisessa on varauduttava sekä sisäisiin että ulkoisiin uhkatekijöihin Tietoturvan on oltava suunniteltua, dokumentoitua ja organisaation johdon hyväksymä Tiedot ja tietojärjestelmät on luokiteltava ja niiden suojaamisen taso on määriteltävä Käyttäjät, käyttäjien valtuudet ja käytön seuranta on määriteltävä, dokumentoiva ja valvottava Tietoturva on hallinnollisten toimien, prosessien ja ohjeiden, teknisten järjestelmien ja fyysisten kontrollien moniulotteinen kokonaisuus Jatkuva prosessi Koko organisaation vastuulla Koko tiedon ja tietojärjestelmien elinkaari, suunnittelu hankinta käyttöönotto kehitys / ylläpito hävitys / käytönpäättäminen Pirkko Nykänen & Antto Seppälä

Tietoturva tietosuoja tietojärjestelmien suunnittelussa

Tietoturva tietosuoja tietojärjestelmien suunnittelussa Tietoturva tietosuoja tietojärjestelmien suunnittelussa 17.3.2014 Sovelluskehityksen tietoturvaohje VAHTI 1/2013, Valtiovarainministeriö - Käyttötapauksetkuka tekee ja mitä tekee - Käytettävyys mitä on

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com SecGo Sähköinen allekirjoitus ja sen käyttö Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com Turvallinen Sähköinen Tiedonkulku Tunnistetut käyttäjät tietojärjestelmiin Pääsyoikeudet

Lisätiedot

TIETOTURVAA TOTEUTTAMASSA

TIETOTURVAA TOTEUTTAMASSA TIETOTURVAA TOTEUTTAMASSA Ari Andreasson Juha Koivisto TIETOTURVAA TOTEUTTAMASSA TIETOSANOMA Tekijät ja Tietosanoma Oy ISBN 978-951-885-334-6 KL 61.7 Tietosanoma Oy Bulevardi 19 C 00120 Helsinki 09 694

Lisätiedot

Kymenlaakson Kyläportaali

Kymenlaakson Kyläportaali Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta

Lisätiedot

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 11. Luento Tietotekninen turvallisuus

Lisätiedot

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17 Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on

Lisätiedot

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee

Lisätiedot

TIETOTURVA- POLITIIKKA

TIETOTURVA- POLITIIKKA TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...

Lisätiedot

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat? Tietoturva ja tietosuoja Millaisia ovat tietoyhteiskunnan vaarat? Mitä on tietoturva? Miten määrittelisit tietoturvallisuuden? Entä tietosuojan? Mitä ylipäänsä on tieto siinä määrin, kuin se ihmisiä kiinnostaa?

Lisätiedot

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön

Lisätiedot

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma

Lisätiedot

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN

Lisätiedot

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland Älykäs verkottuminen ja käyttäjänhallinta Pekka Töytäri TeliaSonera Finland 1 Älykäs verkottuminen Tekniikka, organisaatio ja prosessit muodostavat yhtenäisesti toimivan palvelualustan Älykäs toiminnallisuus

Lisätiedot

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Tutkimus web-palveluista (1996) http://www.trouble.org/survey/

Tutkimus web-palveluista (1996) http://www.trouble.org/survey/ Tietoturva Internet kaupankäynnissä E-Commerce for Extended Enterprise 29.4.98 Jari Pirhonen (Jari.Pirhonen@atbusiness.com) AtBusiness Communications Oy http://www.atbusiness.com Tutkimus web-palveluista

Lisätiedot

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN Khall 9.3.2015 73 2 Sisältö 1. TIETOTURVAPOLITIIKKA... 3 1.1. Tietoturvatyö... 3 1.2. Tietoturvallisuuden osa alueet... 4 1.3. Vastuut ja valvonta...

Lisätiedot

Laatua ja tehoa toimintaan

Laatua ja tehoa toimintaan Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät

Lisätiedot

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä? Huoltovarmuuskeskuksen 10-vuotisjuhlaseminaari Helsinki, 26.2.2003 Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä? TkT Arto Karila Karila A. & E. Oy E-mail: arto.karila@karila.com HVK, 26.2.2003-1

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...

Lisätiedot

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuus tietoturvauhkana Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuuden erityispiirteet Verkkorikollisuus on ammattimaista ja tähtää

Lisätiedot

Tietoturva Kehityksen este vai varmistaja?

Tietoturva Kehityksen este vai varmistaja? Tietoturva Kehityksen este vai varmistaja? Valtion IT-johtaja Yrjö Benson 11.2.2010 Tietoturvan rakenne VAHTI Ulkokerros Hallinnollinen tietoturva Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus

Lisätiedot

010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva

010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva 010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva Pekka Jäppinen 31. lokakuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 31. lokakuuta 2007 Tietokone Koostuu raudasta ja ohjelmista

Lisätiedot

Sähköi sen pal l tietototurvatason arviointi

Sähköi sen pal l tietototurvatason arviointi Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein

Lisätiedot

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011 Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2011 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Julkiset

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA 2014 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA... 1 5 TIETOTURVA JA LAATU... 2 6 TIETOTURVAN KEHITTÄMINEN...

Lisätiedot

Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka

Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka Johtokunta 7.12.2009 193 Tietoturva- ja tietosuojapolitiikka Sisällys: 1. Johdanto 3 2. Tietoturvapolitiikan tavoitteet ja toteutuksen periaatteet 4 3. Tietosuojapolitiikan tavoitteet ja toteutuksen periaatteet

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Kuinka moneen tietovuotoon teidän yrityksellänne on varaa? Palomuurit ja VPN ratkaisut suojelevat yritystä ulkopuolisia uhkia vastaan,

Lisätiedot

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,

Lisätiedot

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Sisällys Valtiontalouden tarkastusviraston tietoturvapolitiikka... 2 1 Johdanto... 3 2 Vastuut... 3 2.1 Tarkastusviraston

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 9. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

Verkostoautomaatiojärjestelmien tietoturva

Verkostoautomaatiojärjestelmien tietoturva Verkostoautomaatiojärjestelmien tietoturva Jouko Tervo Sähkötutkimuspoolin seminaari 9.10.2013 1 Renecon palvelut Toiminnan kehittäminen ICTjärjestelmien ja palvelujen hankinnat Selvitykset ja tutkimukset

Lisätiedot

Kuntarekry.fi. case: pilvipalvelut 13.2.2014. KL-Kuntarekry Oy / Tuula Nurminen

Kuntarekry.fi. case: pilvipalvelut 13.2.2014. KL-Kuntarekry Oy / Tuula Nurminen case: pilvipalvelut 13.2.2014 KL-Kuntarekry Oy / Tuula Nurminen 1 11.2.2014 Pilvipalveluiden luokittelusta 1. Yksityinen pilvipalvelu, (Private cloud) Organisaation oma tai vuokrattu palvelu, jolloin resurssit

Lisätiedot

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

myynti-insinööri Miikka Lintusaari Instrumentointi Oy TERVEYDENHUOLLON 25. ATK-PÄIVÄT Kuopio, Hotelli Scandic 31.5-1.6.1999 myynti-insinööri Miikka Lintusaari Instrumentointi Oy Uudet tietoturvaratkaisut SUOMEN KUNTALIITTO Sairaalapalvelut Uudet tietoturvaratkaisut

Lisätiedot

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Valtiontalouden tarkastusviraston tietoturvapolitiikka Valtiontalouden tarkastusviraston tietoturvapolitiikka Valtiontalouden tarkastusvirasto on tänään vahvistanut oheisen tietoturvapolitiikan. Päätös on voimassa 1.5.2008 lukien toistaiseksi. Helsingissä

Lisätiedot

Vaivattomasti parasta tietoturvaa

Vaivattomasti parasta tietoturvaa Vaivattomasti parasta tietoturvaa BUSINESS SUITE Tietoturvan valinta voi olla myös helppoa Yrityksen tietoturvan valinta voi olla vaikeaa loputtomien vaihtoehtojen suossa tarpomista. F-Secure Business

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Liite 2 : RAFAELA -aineiston elinkaaren hallinta RAFAELA-hoitoisuusluokitus-jär je 1 Liite 2 : RAFAELA -aineiston elinkaaren hallinta Ohje: Lomake täytetään Tilaajan toimesta ja palautetaan Toimittajalle käyttöoikeussopimuksen mukana. 1. Aineiston omistajuus

Lisätiedot

1. Tietokonejärjestelmien turvauhat

1. Tietokonejärjestelmien turvauhat 1 1. Tietokonejärjestelmien turvauhat Kun yhteiskunta tulee riippuvaisemmaksi tietokoneista, tietokonerikollisuus ei tule ainoastaan vakavammaksi seurauksiltaan vaan myös houkuttelevammaksi rikollisille.

Lisätiedot

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Standardisarja IEC 62443 Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Matti Sundquist, Sundcon Oy Jukka Alve, SESKO ry 1 ASAFin tietoturvaseminaari 27.1.2004 Automaatioseuran

Lisätiedot

Kattava tietoturva kerralla

Kattava tietoturva kerralla Kattava tietoturva kerralla PROTECTION SERVICE FOR BUSINESS Tietoturvan on oltava kunnossa Haittaohjelmahyökkäyksen tai tietoturvan vaarantumisen seuraukset voivat olla vakavia ja aiheuttaa merkittäviä

Lisätiedot

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto Tietoturvapolitiikka Tietoturvakäytännön toimintaperiaatteet ja ohjeisto 25.1.2011 Sisällysluettelo TIETOTURVAPOLITIIKKA... 3 1 Johdanto... 3 1.1 Yleistä... 3 1.2 Tavoite... 3 1.3 Vaatimuksenmukaisuus...

Lisätiedot

Ammattikorkeakoulu 108 Liite 1

Ammattikorkeakoulu 108 Liite 1 2 (7) Tietoturvapolitiikka Johdanto Tietoturvapolitiikka on ammattikorkeakoulun johdon kannanotto, joka määrittelee ammattikorkeakoulun tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot. Ammattikorkeakoululla

Lisätiedot

IT-palvelujen ka yttö sa a nnö t

IT-palvelujen ka yttö sa a nnö t IT-palvelujen ka yttö sa a nnö t Tampereen yliopisto Yliopistopalvelut / tietohallinto Rehtorin päätös 28.8.2014. Sisällysluettelo 1 Soveltamisala... 2 2 Käyttövaltuudet ja käyttäjätunnus... 2 2.1 Käyttövaltuudet...

Lisätiedot

Tietosuoja- ja tietoturvapolitiikka

Tietosuoja- ja tietoturvapolitiikka Tietosuoja- ja tietoturvapolitiikka Johtoryhmä 13.3.2012 Johtoryhmä 10.4.2012 Yhtymähallitus 24.4.2012 2 (8) Versiohistoria: Versio Pvm: Laatija: Kommentit: 0.1 24.2.2011 Navicre Oy Katselmoitavaksi 0.2

Lisätiedot

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac Loppukäyttäjän ohje Asennus- ja käyttöohje Mac Fujitsun mpollux DigiSign Client on kortinlukijaohjelmisto, jonka avulla voit kirjautua luotettavasti ja turvallisesti organisaation tietoverkkoon tai sähköiseen

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

1 YLEISKUVAUS... 2. 1.1 Verkkoturvapalvelu... 2. 1.1.1 Verkkoturvapalvelun edut... 2. 1.2 Palvelun perusominaisuudet... 2

1 YLEISKUVAUS... 2. 1.1 Verkkoturvapalvelu... 2. 1.1.1 Verkkoturvapalvelun edut... 2. 1.2 Palvelun perusominaisuudet... 2 Palvelukuvaus 1 Sisällysluettelo 1 YLEISKUVAUS... 2 1.1 Verkkoturvapalvelu... 2 1.1.1 Verkkoturvapalvelun edut... 2 1.2 Palvelun perusominaisuudet... 2 1.2.1 Suodatettava liikenne... 3 1.3 Palvelun rajoitukset...

Lisätiedot

Tietoturvapäivä 7.2.2012

Tietoturvapäivä 7.2.2012 Tietoturvapäivä 7.2.2012 Esko Vainikka, yliopettaja, CISSP Tietoturvapäivä Turun ammattikorkeakoulussa Lämpimästi tervetuloa 4. Tietoturvapäivä tapahtumaan Turun ammattikorkeakoulussa Kiitokset jo etukäteen

Lisätiedot

Mobiilin ekosysteemin muutos - kuoleeko tietoturva pilveen?

Mobiilin ekosysteemin muutos - kuoleeko tietoturva pilveen? Mobiilin ekosysteemin muutos - kuoleeko tietoturva pilveen? Erkki Mustonen Tietoturva-asiantuntija Lapty Rovaniemi 3.11.2011 Suojaa korvaamattoman f-secure.fi F-Secure tietoturvan globaali toimija Perustettu

Lisätiedot

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA 6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA Tietoturvallisuuspolitiikka on lähtökohta tietoturvallisuuden ja valmiuden kehittämiselle organisaatiossa. Sen avulla määritellään tietoturvallisuuden periaatteet

Lisätiedot

Asianajajaliiton tietoturvaohjeet. Asianajosihteeripäivät 4.4.2014 Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy

Asianajajaliiton tietoturvaohjeet. Asianajosihteeripäivät 4.4.2014 Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy Asianajajaliiton tietoturvaohjeet Asianajosihteeripäivät 4.4.2014 Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy SISÄLTÖ Yleiskatsaus tietoturvaohjeisiin Sähköpostin käyttö Pilvipalveluiden

Lisätiedot

Tietoturvallisuus - haaste tiedonhallinnassa

Tietoturvallisuus - haaste tiedonhallinnassa Tietoturvallisuus - haaste tiedonhallinnassa Kaija Saranto, professori Sosiaali- ja terveydenhuollon tietohallinto Sosiaali- ja terveysjohtamisen laitos Sosiaali- ja terveydenhuollon tietohallinnon koulutusohjelma

Lisätiedot

Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen

Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen Yleistä hallinnollisesta tietoturvallisuudesta Tukikoulutus joulukuu 2007 Tuija Lehtinen Tieto Tieto on suojattava kohde, jolla on tietty arvo organisaatiossa Tieto voi esiintyä monessa muodossa: painettuna

Lisätiedot

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä

Lisätiedot

Tuotetta koskeva ilmoitus

Tuotetta koskeva ilmoitus Suojaus Käyttöopas Copyright 2009 Hewlett-Packard Development Company, L.P. Tässä olevat tiedot voivat muuttua ilman ennakkoilmoitusta. Ainoat HP:n tuotteita ja palveluja koskevat takuut mainitaan erikseen

Lisätiedot

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement) TeliaSonera CA Asiakkaan vastuut v. 2.0 TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement) Luottavan osapuolen velvollisuudet Varmenteen hakijan ja haltijan velvollisuudet Rekisteröijän

Lisätiedot

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille 15.3.2016 Kimmo Rousku VAHTI Tilaisuuden ohjelma 2 Tervetuloa! Yksikön päällikkö, VAHTIn puheenjohtaja Aku Hilve

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Tietoturvan perusteet - Syksy 2005 SSH salattu yhteys & autentikointi Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Yleistä SSH-1 vuonna 1995 (by. Tatu Ylönen) Korvaa suojaamattomat yhteydentottotavat

Lisätiedot

Käyttöjärjestelmät(CT50A2602)

Käyttöjärjestelmät(CT50A2602) V 2.0 Käyttöjärjestelmät(CT50A2602) KÄYTTÖJÄRJESTELMIEN TIETOTURVA Ryhmä: Hauvala, Anssi 0398197 Kellokoski, Keijo, 0398317 Manninen, Jaana 0369498 Manninen, Sami 0315464 Nurmela, Marja-Leena 0398375 Tanttu,

Lisätiedot

Tuunix Oy Jukka Hautakorpi 30.10.2012

Tuunix Oy Jukka Hautakorpi 30.10.2012 Tuunix Oy Jukka Hautakorpi 30.10.2012 Yritysesittely lyhyesti Tuunix Oy:n palvelut Mikä on pilvipalvelu? Pilvipalveluiden edellytykset Tietoturva ipad ja pilvipalvelut Erilaiset pilvipalvelut lyhyesti

Lisätiedot

Tietoturvallisuuden ja tietoturvaammattilaisen

Tietoturvallisuuden ja tietoturvaammattilaisen Tietoturvallisuuden ja tietoturvaammattilaisen haasteet Turvallisuusjohtaminen 2006 25.10.2006 Jari Pirhonen puheenjohtaja Tietoturva ry Turvallisuusjohtaja, CISSP, CISA Oy Samlink Ab Tieto lisää turvaa

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Diplomityöseminaari. 8.12.2005 Teknillinen Korkeakoulu

Diplomityöseminaari. 8.12.2005 Teknillinen Korkeakoulu Diplomityöseminaari 8.12.2005 Teknillinen Korkeakoulu Työn otsikko: Tekijä: Valvoja: Ohjaaja: Tekninen tiedonhankinta ja yrityksen tietojen turvaaminen Pekka Rissanen Prof Sven-Gustav Häggman DI Ilkka

Lisätiedot

-kokemuksia ja näkemyksiä

-kokemuksia ja näkemyksiä Varmenne ja PKI-toteutuksen suuntaviivat huomioitavat tekijät -riskit-hyödyt -kokemuksia ja näkemyksiä Risto Laakkonen, HUS Tietohallinto 1 Varmenne ja PKI-toteutuksen suuntaviivat Sisältö lainsäädännön

Lisätiedot

SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa

SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa Yleisesittely Julkaisutilaisuus 9.6.2015 Teknologiajohtaja Aki Siponen, Microsoft

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 10. Luento Tietotekninen turvallisuus

Lisätiedot

Terveydenhuollon ATK-päivät

Terveydenhuollon ATK-päivät Terveydenhuollon ATK-päivät 27.5.2002 Tero Tammisalo Myyntipäällikkö Alueellinen digitaalinen arkisto Aiheet Aiheen esittely Asiointi ja prosessit sähköiseksi, verkkoon Sähköinen käsittely ja päätöksenteko

Lisätiedot

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows Fujitsun mpollux DigiSign Client on kortinlukijaohjelmisto, jonka avulla voit kirjautua luotettavasti ja turvallisesti organisaation tietoverkkoon tai

Lisätiedot

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta Terveydenhuollon atk-päivät 26.-27.5.2009, Redicom Oy jukka.koskinen@redicom.fi

Lisätiedot

Tietosuoja sosiaali- ja terveyspalveluissa

Tietosuoja sosiaali- ja terveyspalveluissa Tietosuoja sosiaali- ja terveyspalveluissa Ari Andreasson tietosuojavastaava, Tampereen kaupunki Tampere-talo, Superin ammatilliset opintopäivät 17.2.2016 1 Mediasta lainattua Salakuvaaminen kännykkäkameroilla

Lisätiedot

Jämsän kaupungin tietoturvapolitiikka

Jämsän kaupungin tietoturvapolitiikka 4.11.2014 Jämsän kaupungin tietoturvapolitiikka Jämsän kaupunki Hallintopalvelut SISÄLLYSLUETTELO 1 TIETOTURVAPOLITIIKKA... 1 2 TIETOTURVALLISUUS... 2 2.1 Tavoitteet ja tietoturvallisuuden merkitys...

Lisätiedot

Verkostoautomaatiojärjestelmien tietoturva

Verkostoautomaatiojärjestelmien tietoturva Verkostoautomaatiojärjestelmien tietoturva Jouko Tervo Tekla - Käyttäjäpäivät 2014 1 Renecon palvelut Toiminnan kehittäminen ICTjärjestelmien ja palvelujen hankinnat Selvitykset ja tutkimukset Tekla -

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA 41 Johdanto Tiedon käsittely on oleellinen osa Peruspalvelukuntayhtymä Kallion toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus, toimintakyky,

Lisätiedot

Sähköinen allekirjoitus ja henkilön tunnistaminen matkapuhelimella. Terveydenhuollon ATK-päivät 30.5.2005

Sähköinen allekirjoitus ja henkilön tunnistaminen matkapuhelimella. Terveydenhuollon ATK-päivät 30.5.2005 Sähköinen allekirjoitus ja henkilön tunnistaminen matkapuhelimella Terveydenhuollon ATK-päivät 30.5.2005 24.03.2013 Mobiilivarmenteet asioinnissa ja työskentelyssä Sähköinen asiointi, itsepalvelu ja kaupankäynti

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto 13.11.2012 HELSINGIN KAUPUNKI MUISTIO Numero 1 13.11.2012 HELMI-EXTRANET-KÄYTTÖPOLITIIKKA SISÄLTÖ 1 Extranet-tunnuksen käyttöpolitiikka 2 Käyttäjätunnusten myöntöperusteet 3 Salasanat Käyttäjätunnuksen hyväksyttävä

Lisätiedot

Tietoturvan perusteet. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010

Tietoturvan perusteet. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 Tietoturvan perusteet Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 Luennon sisältö Tällä viikolla: 1. Tietoturvallisuus 2. Uhkia ja hyökkäyksiä verkossa 3. Tietoverkkojen turvaratkaisuja

Lisätiedot

HELPPOUDEN VOIMA. Business Suite

HELPPOUDEN VOIMA. Business Suite HELPPOUDEN VOIMA Business Suite UHKA ON TODELLINEN Online-uhkat ovat todellinen yrityksiä haittaava ongelma yrityksen toimialasta riippumatta. Jos sinulla on tietoja tai rahaa, voit joutua kohteeksi. Tietoturvatapausten

Lisätiedot

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Oulunkaaren kuntayhtymän toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat

Lisätiedot

Kaakon SOTE-INTO hanke / Matkanhallintajärjestelmä. Tarjous 88/2010. Liite 7: Western Systems Oy:n tietoturvaohje

Kaakon SOTE-INTO hanke / Matkanhallintajärjestelmä. Tarjous 88/2010. Liite 7: Western Systems Oy:n tietoturvaohje Kaakon SOTE-INTO hanke / Matkanhallintajärjestelmä Tarjous 88/2010 Liite 7: Western Systems Oy:n tietoturvaohje TARJOUS 88/2010 2 (10) Sisältö Kaakon SOTE-INTO hanke / Matkanhallintajärjestelmä... 1 Tarjous

Lisätiedot

Kieku-tietojärjestelmä Työasemavaatimukset

Kieku-tietojärjestelmä Työasemavaatimukset Valtiokonttori Kieku-toimiala Ohje 18.5.2015 Kieku-tietojärjestelmä Työasemavaatimukset Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.00 15.2.2012 Eero Haukilampi

Lisätiedot

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen) Valtiokonttori Kieku-toimiala Ohje Mikko 18.4.2016 Kieku-tietojärjestelmä Työasemavaatimukset 1 (5) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.5 12.2.2014 Mikko

Lisätiedot

IT-palvelut ja tietoturvallisuus Tampereen yliopistossa

IT-palvelut ja tietoturvallisuus Tampereen yliopistossa IT-palvelut ja tietoturvallisuus Tampereen yliopistossa Tietotekniikkataidot 12.3.2014 Sisältö Tietohallinto julkisilla verkkosivuilla Yliopiston intranet Opiskelijan tietotekniikkaopas pääkohdat ja täydennyksiä

Lisätiedot

HELSINGIN KAUPUNKI OHJE 1/8 LIIKENNELAITOS

HELSINGIN KAUPUNKI OHJE 1/8 LIIKENNELAITOS HELSINGIN KAUPUNKI OHJE 1/8 TIETOTURVALLISUUDEN OHJE TIETOTEKNIIKAN KÄYTTÄJÄLLE Johdanto Tässä ohjeessa kuvataan Helsingin kaupungin liikennelaitoksen hallintokuntakohtaiset tietotekniikan käyttöä koskevat

Lisätiedot

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan

Lisätiedot

Etelä-Pohjanmaan sairaanhoitopiirin tietoturva- ja tietosuojapolitiikka

Etelä-Pohjanmaan sairaanhoitopiirin tietoturva- ja tietosuojapolitiikka 8.6.2015 1 (1) 1. Johdanto Tietoturva- ja tietosuojapolitiikka määrittelee ne periaatteet, vastuut, toimintatavat sekä seurannan ja valvonnan, joita sairaanhoitopiirissä ja sen tuottamissa alueellisissa

Lisätiedot

IHTE-1900 Seittiviestintä

IHTE-1900 Seittiviestintä IHTE-1900 Seittiviestintä Tietoturva 8.11. Päivän aiheet Mitä on tietoturva? - Lyhyt katsaus erilaisiin tietoturvaluokituksiin Miksi tietoturva on tärkeää? Joitakin tietoturvapalveluita Symmetrinen vs.

Lisätiedot

IHTE-1900 Seittiviestintä

IHTE-1900 Seittiviestintä IHTE-1900 Seittiviestintä Tietoturva 8.11. Päivän aiheet Mitä on tietoturva? - Lyhyt katsaus erilaisiin tietoturvaluokituksiin Miksi tietoturva on tärkeää? Joitakin tietoturvapalveluita Symmetrinen vs.

Lisätiedot

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN

Lisätiedot

1. Toimivan IT-ympäristön rakentaminen

1. Toimivan IT-ympäristön rakentaminen 1. Toimivan IT-ympäristön rakentaminen Tarjontaa paljon tarvitaan henkilö, joka kokoaa oikeat palikat yhteen Ensin hahmotetaan kokonaisuus sen jälkeen tarkastellaan pienempiä osa-alueita Koulutus/tiedon

Lisätiedot