Tietoturva tietosuoja tietojärjestelmissä

Koko: px
Aloita esitys sivulta:

Download "Tietoturva tietosuoja tietojärjestelmissä"

Transkriptio

1 Tietoturva tietosuoja tietojärjestelmissä Pirkko Nykänen & Antto Seppälä

2 TIETOSUOJA Henkilötietojen käsittely turvattava ja henkilötiedot suojattava asiattomalta käsittelyltä tietojen valtuudettoman saannin ja käytön estäminen tietojen luottamuksellisuuden säilyttäminen yksityisyys ja oikeusturva TIETOTURVA Laitteistot, ohjelmistot, tietoliikenneyhteydet ja tiedot on suojattava fyysisesti, teknisesti ja toiminnallisesti asiaintila, jossa uhat eivät aiheuta merkittävää riskiä keinojen ja toimenpiteiden kokonaisuus, joilla varmistetaan turvallisuus sekä normaaleissa että poikkeustilanteissa Pirkko Nykänen & Antto Seppälä

3 Tietoturvapolitiikka ja ohjeet Yleiset periaatteet eettiset periaatteet ja lait (kulttuurisidonnaisuus) EU ja kansalliset periaatteet EU direktiivit, lait ja normatiiviset ohjeet Ohjeistukset - palvelujen ja teknologian toteutuksesta riippumattomia Toimenpiteet - hallinnolliset ja tekniset toimenpiteet, käyttöönotto-ohjeet, teknologia- ja organisaatioriippuvuus Pirkko Nykänen & Antto Seppälä

4 Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) Kehittää, yhteensovittaa ja ylläpitää valtionhallinnon tietoturvallisuuden tavoitteita, toiminta-, organisointi- ja resurssilinjauksia sekä normeja, ohjeita ja suosituksia Kehittää tietoturvallisuutta osana hallinnon kaikkea toimintaa ja edistää tietoturvallisuuden integrointia osaksi hallinnon prosesseja, tehtäviä, palveluita ja järjestelmiä Valmistelee ja yhteensovittaa valtioneuvoston ja valtiovarainministeriön linjauksia hallinnon tietoturvallisuudesta sekä seuraa ja edistää niiden toimeenpanoa Edistää hallinnon tietoturvakulttuuria ja henkilöstön tietoturvatietoisuutta Valmistelee ja käsittelee hallinnon organisaatioiden tietoturvallisuuden tavoitetasot ja edistää niiden toimeenpanoa ja auditointia Seuraa ja arvioi hallinnon tietoturvallisuutta, varautumista, kansallista ja kansainvälistä kehitystä sekä määrittelee tarvittavat linjaukset, normit ja toimenpiteet Käsittelee ja yhteensovittaa hallinnon kansainvälisen tietoturvayhteistyön linjauksia ja vaikuttamista kansainvälisessä tietoturvatyössä Ohjaa ja käsittelee valtion IT-strategian toimeenpanon tietoturvallisuutta ja varautumista sekä organisoi näiden alueiden kehittämisohjelman ohjauksen. araykset/index.jsp Pirkko Nykänen & Antto Seppälä

5 Tasapaino tietoturvan ja tietosuojan sekä käytännön tarpeiden välillä Tieto saatavuus käytettävyys muuttumattomuus päätöksenteon tuki Asiakkaan yksityisyys itsemääräämisoikeus informointi osallistuminen Kohde ja sen ominaisuudet määrittelevät tietoturvan tason Pirkko Nykänen & Antto Seppälä

6 Tietoturva Tietoturvallisuudella tarkoitetaan tiedoista, tietojärjestelmistä, tietoliikenteestä sekä henkilöistä aiheutuvien riskien hallintaa Tietoturvallisuus on toiminnallinen kokonaisuus, jonka perustana ovat organisaation turvallisuuskulttuuri ja ihmisten toiminta Tietoturvallisuus on laaja käsite, joka ei koske pelkästään teknisiä ratkaisuja, kuten laitteistoa ja sovelluksia, vaan siihen oleellisesti kuuluvat myös ihmisten toiminta ja turvatoiminnan yleiset järjestelyt Organisaation tieto ja tietojärjestelmät ovat sen toiminnan ja toimintakyvyn kannalta olennainen osa ja tietoturvallisuuden lähtökohtana on turvata tiedon käytettävyys, eheys ja luottamuksellisuus Pirkko Nykänen & Antto Seppälä

7 Tietoturva Tietoturvallisuudella varmistetaan Organisaation toimintaympäristö Arkaluontoiset tiedot ja liiketoimintatiedot Turvataan asiakkaiden / sidosryhmien / kansalaisten yksityisyys ja tietojen salassapito Tietoturvallisuus edellyttää johdon sitoutumista ja riittäviä resursseja Tietoturva käsittää tietoturvaorganisaation, tietojen käsittelijöiden toimintatavat, tietojen turvaamisen menetelmät, kontrollit, välineet ja toimenpiteet, sekä eri välineistöjen, ohjelmistojen ja tilojen tietoturvaominaisuudet. Pirkko Nykänen & Antto Seppälä

8 Milloin tieto on turvassa? Onko tiedot turvassa jos henkilöstöllä on vahvat salasanat? Onko tiedot turvassa jos järjestelmien päivitykset ovat ajan tasalla? Onko tiedot turvassa jos meillä on palomuuri käytössä? Paraneeko tietoturva ikinä? Pirkko Nykänen & Antto Seppälä

9 Tietoturvan tavoitteet Tietoturvan päätavoite on CIA Confidentiality of information Tiedon luottamuksellisuus Integrity of information Tiedon eheys Availability of resources Tietoresurssien käytettävyys / saatavuus Pirkko Nykänen & Antto Seppälä

10 Luottamuksellisuus Liittyy tietosuojan ja yksityisyyden käsitteisiin Luottamuksellisuudella tarkoitetaan kykyä suojata tieto valtuudettomalta käytöltä, eli tiedot ovat vain niihin oikeutettujen käytettävissä Uhkia tiedon käsittelyprosessin eri vaiheissa Tiedon luottamuksellisuudelle on uhkana esim. kannettavan tietokoneen katoaminen, huolimaton tiedon käyttö, väärä sähköpostiosoite, erilaiset järjestelmähyökkäykset, henkilöstö Luottamuksellisuuden menettämisellä voi olla vakavat seuraukset kaikille osapuolille Pirkko Nykänen & Antto Seppälä

11 Tiedon eheys Tiedon täydellisyys ja muuttumattomuus syötön, käsittelyn, arkistoinnin ja tiedonsiirron aikana Tiedot eivät saa muuttua eivätkä hävitä virheiden / luvattomien toimenpiteiden seurauksena koko tiedon elinkaaren aikana Eheyden takaamiseksi tietojen valtuudeton muuttaminen on pystyttävä estämään, sekä muutoksista pitää pystyä toipumaan, undo Eri sovellukset voivat käsitellä samaa tietoa, joten eheyden takaaminen on usein ongelmallista ja se vaatii laajaa ymmärrystä organisaation tietovarannoista ja tietovirroista Kriittinen ominaisuus mikäli tietoa pyritään käyttämään päätöksenteon tukena Pirkko Nykänen & Antto Seppälä

12 Tiedon eheys Rikkomukset tiedon eheydelle ovat erityisen hankalia havaita Kolme tiedon ominaisuutta: alkuperäisyys, kiistämättömyys ja koskemattomuus Tiedon alkuperä pitää pystyä varmistamaan Kiistämättömyys, eli tiedon käsittelijä ei voi kiistää tiedonkäsittelytapahtumaa Koskemattomuudella tarkoitetaan ettei tietoa ole muokattu tai muutettu Pirkko Nykänen & Antto Seppälä

13 Tiedon käytettävyys / saatavuus Tieto pitää olla helposti ja viiveettä niiden käytettävissä joilla on siihen oikeus Erilaiset katkokset haittaavat käytettävyyttä Sähkökatkot, järjestelmähäiriöt, ylläpitotoimet, verkkokatkokset, laiteviat, palvelunestohyökkäykset (DoS, denial of service) Tietojen käytettävyys tulevaisuudessakin, esim. arkistointi Pirkko Nykänen & Antto Seppälä

14 Tietoturvakäsitteitä Tietoturvaloukkaus: oikeudeton puuttuminen tietoturvaan Tietoturvauhka: potentiaalinen sisäinen tai ulkoinen vahingoittava tapahtuma, yleensä ympäristöstä riippuvainen (vrt. Windows ja Linux) Haavoittuvuus: tarkoitetaan yleensä heikkouksia turvallisuudessa joita voidaan hyväksikäyttää Tietoturvariski: uhan todennäköisyys ja mahdollisen vahingon merkittävyys Tietoturva-aukko: ohjelmistoon tai sen suojaukseen liittyvä haavoittuvuus Tietoturvahyökkäys: toimenpiteitä, joiden tarkoituksena on vahingoittaa tai käyttää oikeudettomasti tietojärjestelmää tai verkkoa Tietomurto: suojattuun tietojärjestelmään tai verkkoon tapahtuva tunkeutuminen Tietojen kalastelu (phishing): roskapostiin perustuvia huijausyrityksiä Pirkko Nykänen & Antto Seppälä

15 Haittaohjelma Usein puhutaan ns. malwaresta eli malicious software Erilaisia ohjelmia tai ohjelmien osia joiden tarkoituksena aiheuttaa ei-toivottuja tapahtumia Virus, mato, vakoiluohjelma, nuuskija, troijalainen, yms. Spyware, adware, rootkit Saastuneet nettisivut, muistitikut, sähköposti, haavoittuvuudet Uhkia koko CIA-kolmikolle Tietokoneen kaappaus Pirkko Nykänen & Antto Seppälä

16 Uhat, hyökkäykset Yleinen jako neljään kategoriaan Kaappaus (Interception) Hyökkäys luotettavuutta kohtaan, valtuudeton pääsy tietoon tai järjestelmään Häirintä, keskeytys (Interruption) Tiedon tuhoaminen tai tiedon, palvelun tai järjestelmän muu käytön esto Muuttaminen (Modification) Tiedon, palvelun tai järjestelmän valtuudeton muuttaminen Väärentäminen (Fabrication) Tiedon valtuudeton syöttäminen järjestelmään Pirkko Nykänen & Antto Seppälä

17 Kontrollit Riskien minimoimiseksi on olemassa keinoja, kontrolleja miten varautua erilaisiin uhkiin Fyysiset kontrollit Keskittyvät suojaamaan fyysistä ympäristöä Missä järjestelmät, tieto ja toiminta Kulunvalvonta, lukot, portit, kamerat, vartijat Lämmitys, ilmastointi, palohälyttimet, varavirtajärjestelmät Kriittinen tietoturvan takaamiseksi Pirkko Nykänen & Antto Seppälä

18 Kontrollit Loogiset kontrollit Ns. tekniset kontrollit Keskittyvät suojaamaan järjestelmiä, verkkoja ja tiedon käsittelyä ja ympäristöjä Salasanat, salaus, pääsynhallinta, palomuurit, tunkeilijoiden havaitsemisjärjestelmät Hallinnolliset kontrollit: Perustuvat sääntöihin, asetuksiin, lakeihin, käytäntöihin, ohjeistuksiin Säännöt ja ohjeistukset jotka määrittelevät miten organisaatiossa toimitaan ja käyttäydytään liittyen tietoturvaan Pirkko Nykänen & Antto Seppälä

19 Fyysinen turvallisuus Fyysinen turvallisuus Henkilöstö Tiedot Laitteistot Asiattomat henkilöt: kulunvalvonta, lukot, portit, kamerat, vartijat Luonnonkatastrofit ja ympäristö: lämmitys, ilmastointi, palohälyttimet, varavirtajärjestelmät Tietojen ja laitteistojen fyysinen suojaus: fyysinen media ja koko elinkaari Tilojen luokittelu: Perustasosta täyssuojaukseen, esim. Vahti 1/2002 Pirkko Nykänen & Antto Seppälä

20 Tietoliikenne Palomuuri hallinnoi verkkoliikennettä Sisäverkko <-> julkinen verkko Sijoitetaan suojaamaan eri luottamustason verkkoja Pääsyoikeudet voidaan määritellä monella tavalla: Protokolla Portit Pakettien perusteella (esim. alkuperä/kohde ip) Proxy-palvelin tietyn liikenteen filtteröintiin ja käytön seurantaan Tunkeilijoiden havaitsemisjärjestelmät Langattoman verkon salaaminen (WEP, WPA, WPA2) Salattu tiedonsiirtoprotokolla Palvelinvarmenne + salaus (esim. SSL-/TLS) Järjestelmäallekirjoitusvarmenne (esim. siirrettävä potilasasiakirja) Määriteltävä käytettävät tiedonsiirto- ja suojausmenetelmät, teknologiat ja tekniset standardit, sanomavälitys ja jäljitettävyys, omistus ja valtuudet sekä vastuut Pirkko Nykänen & Antto Seppälä

21 Yritysverkon sisäiset työasemat Sovellus palvelin WWWpalvelin Tietoturvapalvelin Bull CP8 DES salausmoduli Palomuuri Internet Reititin X.500 Hakemisto Yrityksen verkkoon ulkopuolelta tulevat työasemayhteydet Pirkko Nykänen & Antto Seppälä 21

22 Tietoliikenneturvallisuus Nykyiset tietojenkäsittely-ympäristöt ovat hyvin riippuvaisia tietoliikenneyhteyksistä Tietoliikenneturvallisuuden tavoitteena on turvata organisaation tietoliikenne ja varmistaa välitettävien tietojen luottamuksellisuus, eheys ja käytettävyys Kaikki tietoliikenteeseen liittyvät asiat, kuten verkkojen rakentaminen ja suunnittelu Protokollat Salausmenetelmät Verkkotypologiat Tietoturvatuotteet (esim. reitittimet, palomuurit) Tarkoituksena on varmistaa: sanomien alkuperäisyys, koskemattomuus ja luottamuksellisuus lähettäjä ja vastaanottaja sekä todentaa heidät tietoliikennelaitteiden fyysinen turvallisuus Pirkko Nykänen & Antto Seppälä

23 Tietoliikenneturvallisuus Tietoliikennelaitteiston: Kokoonpano Luettelointi Ylläpito Muutosten valvonta Ongelmatilanteiden kirjaus Käytön valvonta Verkon hallinta Viestinnän salaus ja varmistaminen Tietoturvapoikkeamien tarkkailu, kirjaus ja selvittäminen Tietoliikenneohjelmien testaus ja hyväksyttäminen Lähde: Andreasson & Koivisto, 2013 Pirkko Nykänen & Antto Seppälä

24 Laitteistoturvallisuus Turvata organisaation tietojenkäsittely- ja tietoliikennelaitteiden käytettävyys, toimivuus, ylläpito ja saatavuus Tarkoituksena on suojata laitteistot siten, että mahdollisuudet niiden varastamiseen, väärinkäyttöön ja vahingoittumiseen on estetty Asennukset, takuut ja palvelu- ja ylläpitosopimukset Tukipalvelut ja hävitys Eri laitteiden turvallisuuden suunnittelu, esim. palvelimet, tietokoneet, puhelimet Pirkko Nykänen & Antto Seppälä

25 Ohjelmistoturvallisuus Ohjelmistoturvallisuuden tavoitteena on turvata tietojenkäsittelypalveluiden eheys, luottamuksellisuus sekä sovelluksissa käsiteltävien tietojen saatavuus Käyttöjärjestelmien ja ohjelmistojen turvallisuus ja ajantasaisuus Käyttöjärjestelmien ja ohjelmistojen haavoittuvuudet on yksi suurimmista heikkouksista hyökkäyksiä vastaan Jokainen ohjelmisto on riski Haittaohjelmat Käyttöjärjestelmät, tietoliikenneohjelmistot, tietoturvaohjelmistot ja ohjelmistot Ohjelmistojen hankinnat, kehitystyöt, käyttöönotot, ylläpitotoimet ja alasajot tulee olla huolella suunniteltuja tietoturvallisia prosesseja Dokumentointi ja järjestelmäluokittelu Pääsynhallinta, käyttäjänhallinta sekä käyttäjien todentaminen Voidaan määritellä luotettavasti, kuka saa ja pääsee käyttämään tietoja sekä sovelluksia Pirkko Nykänen & Antto Seppälä

26 Tietoaineistoturvallisuus Tarkoituksena turvata asiakirjojen, tiedostojen ja muiden tietoaineistojen käytettävyys, eheys ja luottamuksellisuus Organisaatioiden kaikki tieto, joka on toiminnan kannalta merkittävää, on suojattava sekä dokumentoitava Organisaation tiedot ja tietojärjestelmät on suojattava siten, että työntekijöillä on pääsy vain niihin tietoihin, jotka ovat välttämättömiä heidän työtehtäviensä kannalta Tietojen ja tietojärjestelmien luokittelu, käsittelysäännöt ja omistajuus Käyttöoikeusprosessit, salassapitosopimukset Eri tietoaineistojen koko elinkaaren kestävät suunnitellut prosessit Pirkko Nykänen & Antto Seppälä

27 Käyttöturvallisuus Tavoitteena on parantaa tietotekniikan käytön, käyttöympäristön, tietojenkäsittelyn ja ylläpidon turvallisuutta Jatkuvuus- ja toipumissuunnitelmat Tietojärjestelmien operointi- ja hallintatoimet Valmiussuunnitelmat Palvelutasosopimukset Käytön valvonta Etäkäyttöpolitiikka Pirkko Nykänen & Antto Seppälä

28 Loogiset kontrollit Ns. tekniset kontrollit Keskittyvät suojaamaan järjestelmiä, verkkoja ja tiedon käsittelyä ja ympäristöjä Salasanat, salaus, palomuurit, tunkeilijoiden havaitsemisjärjestelmät Tunnistaminen Väite mitä tai kuka jokin on Todentamien Väitteen totuuden määrittely Käyttövaltuudet ja pääsynhallinta Erilaiset tekniset ratkaisut Pirkko Nykänen & Antto Seppälä

29 Tunnistaminen (identification) Yksinkertaisesti vain väite henkilöllisyydestä Järjestelmä verkossa, sähköposti, käyttäjä Tunnistaminen ei takaa vielä mitään Luotettava tunnistaminen? Henkilöllisyyden vahvistus: passi, henkilöllisyystodistus Tunnistautumisen väärentäminen on mahdollista Henkilöllisyyden asettaminen käyttäjälle, järjestelmälle, prosessille.., Pirkko Nykänen & Antto Seppälä

30 Todennus (authentication) Todennus varmistaa henkilöllisyyden Ihminen, käyttäjä Palvelin, järjestelmä Todennus ei ota kantaa käyttöoikeuksiin tai valtuuksiin Todennukseen on monia eri keinoja, rakentuvat yleensä: Jotain mitä henkilö tietää (esim. salasana, pin-koodi) Jotain mitä olet (esim. biometriikka: kasvot, silmän iriis, sormenjälki ) Jotain mitä sinulla on (esim. fyysinen hallinta, toimikortti, matkapuhelin) Jotain mitä sinä teet (esim. käsiala, salasanan näppäilyrytmi) Kevyt ja vahva tunnistaminen (näkee myös kevyt ja vahva todentaminen) Mu a tunnistaminen todennus Ks. Laki vahvasta sähköisestä tunnistamisesta kahteen todennuskeinoon Pirkko Nykänen & Antto Seppälä

31 Käyttövaltuudet Tunnistaminen + todentaminen -> käyttövaltuudet Käyttövaltuuksien avulla määritellään mitä käyttäjä (tai järjestelmä) saa tehdä Käyttövaltuuksia yleensä hallitaan käytönvalvonnalla (tai pääsynhallinta) (access control) Työkalut seurata ja valvoa tietojärjestelmien käyttöä Tietojen / järjestelmän omistaja päättää ja valvoo, että ketkä ja millä oikeuksilla pääsevät tietoihin tai järjestelmiin Luettelo käyttäjistä ja käyttöoikeuksista Käyttövaltuuksien hallinnointiprosessi Monia erilaisia tapoja määritellä käyttövaltuuksia, nykyään usein rooliperustainen Pirkko Nykänen & Antto Seppälä

32 Käyttövaltuuksien hallinnointi Määriteltävä ja seurattava ketkä pääsevät ja millä oikeuksilla Käyttäjien, ylläpitäjien ja esimiehien on ymmärrettävä vastuut, miten tulee toimia (esim. salasanat) Tietojen käyttö vain tehtävien laajuuden mukaan Tärkeä keino lainmukaisuuden toteuttamiseksi Määriteltävä yksikkö joka on vastuussa käyttövaltuuksien hallinnoinnista -> Jokainen toimintayksikkö ja omistaja on vastuussa Tietojen ajantasaisuudesta, oikeellisuudesta, käytettävyydestä, eheydestä ja tietoihin liittyvien käyttövaltuuksien määrittelystä Rekisterinpitäjä vastaa rekisteritoimintojen lainmukaisuudesta ja henkilötietojen käsittelyn lainmukaisuudesta Pirkko Nykänen & Antto Seppälä

33 Käyttövaltuuksien hallinnointi Erilaiset säännöt, sopimukset ja ohjeistus Määriteltävä miten organisaatiossa käyttöoikeuksia hallinnoidaan Käyttöoikeuksien koko elinkaari ja eri prosessit Työntekijöille käyttö- ja salassapitosäännöt Selkeä ohjeistus ja koulutus Käytön valvonta ja lokitiedot Seuraamuksien määrittely tietoturva- ja tietosuojaloukkauksista Henkilökunnan tiedossa Käyttöoikeusprosessi Hyväksytty ja valtuutettu Dokumentoitu prosessi, käyttäjien valtuudet ja niiden omistajat Pirkko Nykänen & Antto Seppälä

34 Rooliperustaiset käyttövaltuudet Pyritään määrittelemään käyttäjäryhmiä, eli rooleja ja niille asetetaan oikeuksia työtehtävien perusteella Perinteisesti järjestelmissä on rooleja, joille on määritelty erilaisia valtuuksia, eli ns. käyttäjärooleja ja sijoitettu yksittäiset käyttäjät niihin Kankea ja työläs, jos tulee muutoksia Erotetaan käyttäjien työroolit ja käyttäjäroolit Kytketään työroolit käyttäjärooleihin Henkilöllä voi olla useita työrooleja Mahdollisesti vielä rakenteellinen rooli ja toiminnallinen rooli Pirkko Nykänen & Antto Seppälä

35 Käyttäjänhallinta, käyttöoikeus ja käytön valvonta Tunnistaminen Todentaminen Kuka olet Mitä olet Valtuuksien hallinta Roolit Tehtävään liittyvät oikeudet/valtuudet Käytön valvonta Access control Suostumus Käyttötarkoitus IS Tietorakenteet Sensitiivisyys Suojaukset P. Ruotsalainen, Kansallinen terveysprojekti: Usean toimintayksikön yhteinen käyttäjänhallinta Pirkko Nykänen & Antto -periaatteet Seppälä ja suositukset,

36 PKI (public key infrastructure) Yhdistelmä teknologisia ratkaisuja, menettelyjä ja hallinnollisia toimia, jolla mahdollistetaan arkaluonteisen tiedon vaihto turvattomassa ympäristössä Mahdollistaa todentamisen, tiedon salauksen ja digitaalisen allekirjoituksen Yksityinen avain ja julkinen avain (liittyvät toisiinsa tietyllä kaavalla), eli avainpari, yksityisellä avaimella allekirjoitettu tieto voidaan todentaa vain ja ainoastaan julkisella avaimella ja päinvastoin Yksityinen avain, käyttäjällä / palvelimella Julkinen avain on usein luotetun kolmannen osapuolen hallussa, tallennettu varmenteeseen Varmentaja (Certification Authority) antaa varmenteen ja vastaa varmenteesta omalla digitaalisella allekirjoituksellaan Pirkko Nykänen & Antto Seppälä

37 Varmenne Varmenteella tarkoitetaan elektronista dokumenttia, jonka varmentajaorganisaatio myöntää, ja jonka avulla voidaan todistaa varmenteen sisällön kuuluminen asianomaiselle käyttäjälle Julkisen avaimen lisäksi varmenne sisältää myös muita tietoja, kuten henkilön tai organisaation nimen, varmenteen myöntämispäivän, viimeisen voimassaolopäivän, yksilöllisen sarjanumeron, etc. Varmenne sitoo julkisen avaimen identiteettiin Henkilö-, rooli-, laatu-, järjestelmä-, palvelinvarmenne Varmenteet tallennetaan erityiseen hakemistoon Terveydenhuollon varmennepalvelusta vastaa Väestörekisterikeskus Valvira vastaa ammattihenkilöiden ammattioikeuksien ja ammattiaseman tietopalveluista Pirkko Nykänen & Antto Seppälä

38 Varmennusorganisaation peruselementit Palomuuri Korttivalmistaja Varmentaja Hakemisto Rekisteröijä Asiakas Pirkko Nykänen & Antto Seppälä 38

39 Digitaalinen allekirjoitus 39 varmentaja allekirjoittaa digitaalisen dokumentin/ varmenteen omalla yksityisellä avaimellaan allekirjoittaja laskee allekirjoitettavasta viestistä yksisuuntaisen funktion avulla tiivisteen, jonka hän salaa yksityisellä avaimellaan vastaanottaja laskee saamastaan viestistä myös tiivisteen ja vertaa sitä allekirjoittajan julkisella avaimella avaamaansa salattuun tiivisteeseen jos samat = viesti on tullut ehyenä ja sen on allekirjoittanut juuri se henkilö, jonka varmenteen julkista avainta salatun tiivisteen avaamiseen on käytetty Sanoman lähetys OK Selväkielinen sanoma 160-bittinen tiiviste Tiivisteen salaus lähettäjän salaisella avaimella Tiivisteen avaus lähettäjän julkisella avaimella Tiivisteen vertaaminen alkuperäiseen sanomaan Pirkko Nykänen 02/03/2015

40 Varmenne Yleensä 2048 tai 4096 bittisiä RSA-avaimia Henkilövarmenteet (esim. terveydenhuollon varmennekortti) Palvelinvarmenne palvelimen tunnistaminen (server authentication) asiakkaan tunnistaminen (client authentication) Järjestelmäallekirjoitusvarmenne Esim. joidenkin asiakirjojen sähköinen allekirjoitus Laki väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009) sekä laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista (617/2009) muodostavat varmennepolitiikan lainsäädännöllisen perustan Pirkko Nykänen & Antto Seppälä

41 Tunnistaminen ja varmenteet VETUMA-palvelu, kansalaisen tunnistaminen ja verkkomaksaminen tunnistus.suomi.fi Tupas-palvelu on Finanssialan Keskusliiton tapa tunnistaa käyttäjä verkkopalveluissa Mobiilivarmenne operaattorien kautta Sähköpostivarmenne, tarkoitettu organisaatioiden käytössä olevien, usean henkilön toimesta seurattavien, yksittäisten sähköpostiosoitteiden käyttöä varten Väestörekisterikeskus älykortti, terveydenhuollon ammattilaisvarmenteet, henkilökohtainen toimikortti Pirkko Nykänen & Antto Seppälä

42 Sovelluskehityksen tietoturvahaasteet Tietojärjestelmän kehittämisprosessissa tietoturvallisuuden huomioiminen koetaan hidastavana Kehittäjät ei aina ole tietoturvatietoisia Tietoturvallisuuden huomioonottamista ei opeteta Tietojärjestelmä voi koostua monesta komponentista, kokonaisuuden tietoturvallisuustaso muodostuu osien tietoturvallisuudesta Pirkko Nykänen & Antto Seppälä

43 Kehittämisessä kiire laatu ja tietoturvallisuus unohdetaan Tietojärjestelmäympäristöt monimutkaistuneet ulkoistaminen, pilvipalvelut, verkottuminen, uudet kielet ja ohjelmointitekniikat Ohjelmoinnissa ei varauduta mahdollisiin hyökkäyksiin (defensiivinen ohjelmointi) virustorjunta, palomuurit, verkkohyökkäysten havainnointiohjelmat Riskianalyysit puutteellisia tai niitä ei tehdä lainkaan Pirkko Nykänen & Antto Seppälä

44 Yhtä tärkeää kuin järjestelmän tietoturva on sovelluskehitystiimin tietoisuus ja osaaminen sovellustietoturvan alueilla Huomioitavia asioita ovat mm. tietoturvan huomioon ottaminen kehitysprosessissa (oli se Scrum, vesiputous tai jokin muu), tietoturvan dokumentoinnin ja katselmoinnin käytännöt, uusien uhkien tunnistaminen, turvalliset suunnittelumallit sekä sovelluksen ja arkkitehtuurikehyksen välinen vastuunjako tietoturvasuojauksissa Tätä tukee usein yrityksen sovelluskehitys-tietoturvaryhmä tai -asiantuntija, joka myös ohjeistaa, linjaa ja neuvoo projekteja tietoturva-asioissa Pirkko Nykänen & Antto Seppälä

45 Tietojärjestelmät Tietojärjestelmät ja ohjelmistot tulisi luokitella tietoturvatasoihin Pääsyhallinta ja turva-asetuksien tarkistus Vastuut ja oikeudet Kuka omistaa järjestelmän, määrittelee vastuut, oikeudet yms. Määritellä järjestelmien tärkeys, tarkoitus, tiedot ja käyttäjät Kriittiset tietojärjestelmät Tietojärjestelmien asianmukainen käyttö tulisi määritellä ja ohjeistaa henkilökunnalle Seuraamukset Eri tietoturvaloukkausten vakavuuden määrittely Millaiset seuraamukset rikkomuksesta Pirkko Nykänen & Antto Seppälä

46 Perinteinen sovelluskehitysmalli Vesiputousmalli tietoturvallisuus otetaan huomioon jokaisessa elinkaaren vaiheessa Suunnitellaan toteutetaan testataan Jokaiselle vaiheelle määritellään tietoturvallisuustehtävät Vaiheesta toiseen siirryttäessä määritellään exit criteria joiden tulee täyttyä Projektin ohjausryhmä seuraa tietoturvallisuuden toteutumista Pirkko Nykänen & Antto Seppälä

47 Ketterät menetelmät tietoturvallisuus sisältyy jokaisen inkrementin, sprintin toteutukseen Tällöin taataan lopullisen tuotteen tietoturvallisuus uhka-analyysi tunnistetaan kaikki riskit ja uhat tietoturvakertomukset security story tavoitteet tietoturvan osalta Väärinkäyttötapaukset abuse casekäyttötapaukset hyökkääjän näkökulmasta Pirkko Nykänen & Antto Seppälä

48 Pilvipalvelut - tietoturvallisuus Infrastruktuuri palveluna IaaS- Infrastructure as a Service Sovellusalusta palveluna PaaS- Platform as a Service Sovellus palveluna SaaS Software as a Service Pilvipalvelulla tarkoitetaan verkon kautta käytettäviä palveluita Pilvipalvelu on toimintamalli jolla yhdistetään uusia ja vanhoja palveluita Tuotantoympäristö pilvipalvelun tuotantomalli jonka mukaan ympäristöä ylläpidetään Pirkko Nykänen & Antto Seppälä

49 Mistä tasosta alkaen sovelluksen käyttäjällä on kontrolli sovellukseen Sovellus omalla palvelimella täysi kontrolli Sovellus toimittajan palvelimella kontrollista osa on toimittajalla Millaiset riskit eri tilanteisiin liittyvät Toimittajat tarjoavat asiakkaiden haluamia ominaisuuksia halvalla ja nopeasti Toimittajat eivät itsekään lupaa että asiakkaiden tiedot ovat riittävästi suojatut Pirkko Nykänen & Antto Seppälä

50 Pirkko Nykänen & Antto Seppälä

51 Pilvipalveluiden tietoturvaongelmia Tiedon häviäminen, tai tietovuoto Tunnusten kaappaaminen Pilviteknologiasta aiheutuva haavoittuvuus, esim rajapinnat Tiedon fyysinen sijainti Omien tietoturvakäytäntöjen ulottuminen ulkopuoliseen palveluun (esim pääsynhallinta) Jaettu alusta, tiedon eristäminen tai salaaminen Pilven rikollinen, häriötä aiheuttava käyttö Uusi konsepti, tuntemattomat uhat Pirkko Nykänen & Antto Seppälä

52 Langattoman tietoliikenteen tietoturva Langaton tiedonsiirto vanhempaa kuin langallinen savumerkit, varoitustulet = vainovalkeat, langaton lennätin, radiolähetykset Langaton tiedonsiirto turvattomampaa langatonta yhteyttä voidaan helposti salakuunnella mobiilit päätelaitteet anonyymejä: voivat joutua vääriin käsiin, liikkuvat --> tarvitaan käyttäjän tunnistus! Langattoman tietoliikenteen tietoturvaa hankaloittaa Heikko laskentateho: turvaprotokollien laskentatarve Rajoitettu muistikapasiteetti, rajoittaa käytettäviä salausmenetelmiä Tehonkulutuksen säästötarve: Akut ja paristot Käytettävyysrajoitukset Tunkeutuminen mobiilipalveluihin: naamioituminen validiksi käyttäjäksi Pirkko Nykänen & Antto Seppälä

53 Langattoman tietoturvan vaatimukset Olemassaolevien tietoturvaratkaisujen sovittaminen langattomaan ympäristöön Eri laitteiden yhteistoiminnallisuuden parantaminen Laitteiden luotettavuuden parantaminen Korkeatasoisen turvajärjestelmän kehittäminen niin, ettei laitteiden käytettävyys kärsi Hyökkäysten estäminen: Tietojen kaappaus, tietojen muuttaminen kryptografinen hyökkäys: murretaan viesti tai käyttäjätietojen salaus Hyökkäjät: Hakkerit, vakoojat, terroristit, yrityshyökkääjät, rikolliset, vandaalit Virusten yms torjunta Pirkko Nykänen & Antto Seppälä

54 Keinoja tietoturvan toteuttamiseksi Tietoturvapolitiikka, jolla suojataan tietoverkot Organisaatioiden henkilöstön tietoturvaohjeet ja koulutus Fyysinen, tekninen ja toiminnallinen tietoturva Tietoturvauhkien ja riskien analysointi Vastatoimien suunnittelu: Avainten ja salasanojen paljastumisen estäminen SIM-kortin joutuminen vieraisiin käsiin estettävä Operaattorin verkon suojaus Salasanojen, avainten yms koodien tallennus tietokannassa Virheet ja toimintahäiriöt verkoissa Pirkko Nykänen & Antto Seppälä

55 Yksityisen käyttäjän suojautuminen Hyvä salasana Käytä vain koneelta jossa ohjelmat on päivitetty, erityisesti selain ja sen lisäosat Älä avaa liitteitä jos et ole varma lähettäjästä /sisällöstä Noudata varovaisuutta palvelujen käytössä Palveluissa on helppo esiintyä toisena henkilönä, varmista oikea henkilöllisyys Työminä vs. nettiminä Harkitse mitä kirjoitat, missä, mitä tietoja itsestäsi annat, älä levitä sosiaaliturvatunnustasi yksityisyys! Pirkko Nykänen & Antto Seppälä

56 Yhteenveto tietoturva suunnittelussa Arkkitehtuuriratkaisuissa huomioidaan eri ratkaisujen yhteensopivuus suositaan standardeja Sovelluksen omistaja hyväksyy kuinka vahvaa tunnistautumista ja luotettavaa identiteettiä sovelluksen käyttöön tarvitaan jos kirjaudutaan käyttäjätunnus/salasanaparilla, salasanan laatuvaatimusten tulee olla konfiguroitavissa: alasanan pituus, ei-aakkosmerkkien lukumäärä, lukkiutuminen määräajaksi virheellisten yritysten jälkeen Käyttäjille vain tarvittavat oikeudet järjestelmiin Käyttö- ja ylläpitotunnusten tulee olla henkilö- ja roolikohtaisia Käyttäjänhallintamenettelyjen tulee varmistaa että tietoturva-asetusten muokkaus on estetty peruskäyttäjiltä Pirkko Nykänen & Antto Seppälä

57 Kaikki ulkopuolelta tullut syöte on tarkastettava ennen käyttöä Sovellusistunto on varmistettava ettei voida kaapata, väärentää, luvattomasti nauhoittaa tai toistaa joutilas istunto on aikakatkaistava Käyttäjätiedot on hallittava ajantasaisesti ja keskitetysti hallintaprosessit ja työnkulut on dokumentoitava Järjestelmästä tulee olla ajantasainen ja kattava dokumentaatio vaatimukset,,määrittelyt, suunnitelmat, testisuunnitelmat ja raportit, turvakuvaukset jne Salausratkaisujen on oltava kansallisen / kansainvälisen tietoturvaviranomaisen hyväksymiä Tietoliikenne tulee salata käyttäjän laitteesta palvelimelle Tunnistautumiseen käytettävät arkaluonteiset tiedot kuten salasanat eivät saa kulkea verkon yli salaamattomina Pirkko Nykänen & Antto Seppälä

58 Organisaation tietojen suojaamisessa on varauduttava sekä sisäisiin että ulkoisiin uhkatekijöihin Tietoturvan on oltava suunniteltua, dokumentoitua ja organisaation johdon hyväksymä Tiedot ja tietojärjestelmät on luokiteltava ja niiden suojaamisen taso on määriteltävä Käyttäjät, käyttäjien valtuudet ja käytön seuranta on määriteltävä, dokumentoiva ja valvottava Tietoturva on hallinnollisten toimien, prosessien ja ohjeiden, teknisten järjestelmien ja fyysisten kontrollien moniulotteinen kokonaisuus Jatkuva prosessi Koko organisaation vastuulla Koko tiedon ja tietojärjestelmien elinkaari, suunnittelu hankinta käyttöönotto kehitys / ylläpito hävitys / käytönpäättäminen Pirkko Nykänen & Antto Seppälä

Tietoturvatekniikka Ursula Holmström

Tietoturvatekniikka Ursula Holmström Tietoturvatekniikka Ursula Holmström Tietoturvatekniikka Tietoturvan osa-alueet Muutama esimerkki Miten toteutetaan Eheys Luottamuksellisuus Saatavuus Tietoturvaterminologiaa Luottamuksellisuus Eheys Saatavuus

Lisätiedot

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö Tietosisällön eheys Kimmo Janhunen kimmo.janhunen@om.fi Riskienhallintapäällikkö Oikeusrekisterikeskuski k 26.11.2014 Esityksen sisältö Tiedon merkitys - tiedon eheyden merkitys Määritelmät Lainsäädäntö

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva

010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva 010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva Pekka Jäppinen 31. lokakuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 31. lokakuuta 2007 Tietokone Koostuu raudasta ja ohjelmista

Lisätiedot

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä? Huoltovarmuuskeskuksen 10-vuotisjuhlaseminaari Helsinki, 26.2.2003 Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä? TkT Arto Karila Karila A. & E. Oy E-mail: arto.karila@karila.com HVK, 26.2.2003-1

Lisätiedot

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA 1 (6) ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA Hyväksytty kaupunginhallituksessa 12.12.2006 Tietoturvapolitiikan avulla vaikutetaan omalta osaltaan siihen, että Espoon kaupungin strategiassa määritelty Espoon

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Lapin yliopiston tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan

Lisätiedot

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö Verkkokonsulttipäivä 28.11.2011 Maarit Pirttijärvi j Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö www.sosiaalijaterveyspalvelut.fi Virtuaalisen sosiaali- ja terveyspalvelukeskuksen käyttäjät

Lisätiedot

Tietoturva ja viestintä

Tietoturva ja viestintä Tietoturva ja viestintä 3.11.2015 1 Uhkakuvat muuttuvat - mitä teemme? Ihmisestä tallentuu joka päivä tietoa mitä erilaisimpiin paikkoihin - valtion, kuntien ja yritysten ylläpitämiin rekistereihin. Joka

Lisätiedot

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Tietoturvan perusteet - Syksy 2005 SSH salattu yhteys & autentikointi Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Yleistä SSH-1 vuonna 1995 (by. Tatu Ylönen) Korvaa suojaamattomat yhteydentottotavat

Lisätiedot

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac

Loppukäyttäjän ohje Asennus- ja käyttöohje Mac Loppukäyttäjän ohje Asennus- ja käyttöohje Mac Fujitsun mpollux DigiSign Client on kortinlukijaohjelmisto, jonka avulla voit kirjautua luotettavasti ja turvallisesti organisaation tietoverkkoon tai sähköiseen

Lisätiedot

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1 Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana Sami Laaksonen, Propentus Oy 3.12.2015 Propentus Oy Perustettu vuonna 2003 Toimipisteet Kouvolassa, Lahdessa ja Kotkassa

Lisätiedot

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement) TeliaSonera CA Asiakkaan vastuut v. 2.0 TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement) Luottavan osapuolen velvollisuudet Varmenteen hakijan ja haltijan velvollisuudet Rekisteröijän

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto

Tietoturvapolitiikka. Tietoturvakäytännön toimintaperiaatteet ja ohjeisto Tietoturvapolitiikka Tietoturvakäytännön toimintaperiaatteet ja ohjeisto 25.1.2011 Sisällysluettelo TIETOTURVAPOLITIIKKA... 3 1 Johdanto... 3 1.1 Yleistä... 3 1.2 Tavoite... 3 1.3 Vaatimuksenmukaisuus...

Lisätiedot

Langattomien verkkojen tietosuojapalvelut

Langattomien verkkojen tietosuojapalvelut Langattomien verkkojen tietosuojapalvelut Sisältö Työn tausta & tavoitteet Käytetty metodiikka Työn lähtökohdat IEEE 802.11 verkkojen tietoturva Keskeiset tulokset Demonstraatiojärjestelmä Oman työn osuus

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Standardisarja IEC 62443 Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Matti Sundquist, Sundcon Oy Jukka Alve, SESKO ry 1 ASAFin tietoturvaseminaari 27.1.2004 Automaatioseuran

Lisätiedot

Tuotetta koskeva ilmoitus

Tuotetta koskeva ilmoitus Suojaus Käyttöopas Copyright 2009 Hewlett-Packard Development Company, L.P. Tässä olevat tiedot voivat muuttua ilman ennakkoilmoitusta. Ainoat HP:n tuotteita ja palveluja koskevat takuut mainitaan erikseen

Lisätiedot

Vahva vs heikko tunnistaminen

Vahva vs heikko tunnistaminen Vahva vs heikko tunnistaminen Valtorin tietoturvaseminaari 2.4.2014 Tommi Simula Johtava asiantuntija, CISM, CISSP, GSEC, MCSE Valtori / Tietoturvapalvelut Mitä tunnistaminen on? Tunnistaa todeta itselleen

Lisätiedot

Toteutuuko tietoturva?

Toteutuuko tietoturva? Toteutuuko tietoturva? Infomaatiohallinnon päivä 2010 21.9.2010 Rovaniemi Juha Lappi Email: juha.lappi@deltagon.fi Vt. toimitusjohtaja GSM: (044)5280892 Deltagon Group Oy Kehittää ja myy käyttäjäystävällisiä

Lisätiedot

Tietosuoja sosiaali- ja terveyspalveluissa

Tietosuoja sosiaali- ja terveyspalveluissa Tietosuoja sosiaali- ja terveyspalveluissa Ari Andreasson tietosuojavastaava, Tampereen kaupunki Tampere-talo, Superin ammatilliset opintopäivät 17.2.2016 1 Mediasta lainattua Salakuvaaminen kännykkäkameroilla

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy. Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 10. Luento Tietotekninen turvallisuus

Lisätiedot

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille 15.3.2016 Kimmo Rousku VAHTI Tilaisuuden ohjelma 2 Tervetuloa! Yksikön päällikkö, VAHTIn puheenjohtaja Aku Hilve

Lisätiedot

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows

Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows Loppukäyttäjän ohje Asennus- ja käyttöohje - Windows Fujitsun mpollux DigiSign Client on kortinlukijaohjelmisto, jonka avulla voit kirjautua luotettavasti ja turvallisesti organisaation tietoverkkoon tai

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 8. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

Utajärven kunta TIETOTURVAPOLITIIKKA

Utajärven kunta TIETOTURVAPOLITIIKKA Utajärven kunta TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Utajärven kunnan toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat keskeisiä tekijöitä

Lisätiedot

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.

Lisätiedot

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS. Palvelukuvaus 1 LOUNEA VERKKOTURVA PALVELUKUVAUS 2 Sisällysluettelo 1 YLEISKUVAUS... 3 1.1 Verkkoturvapalvelu... 3 1.1.1 Verkkoturvapalvelun edut... 3 1.2 Palvelun perusominaisuudet... 3 1.2.1 Suodatettava

Lisätiedot

JHS129 Julkisten verkkopalvelujen suunnittelu ja kehittäminen. JHS-jaosto

JHS129 Julkisten verkkopalvelujen suunnittelu ja kehittäminen. JHS-jaosto JHS129 Julkisten verkkopalvelujen suunnittelu ja kehittäminen JHS-jaosto 23.05.2014 Sisältö Käsitteet ja tavoitteet Työskentelyprosessi Suositusluonnoksen esittely 2 Käsitteet ja tavoitteet 3 Verkkopalvelu

Lisätiedot

Kansallinen tunnistusratkaisu. Erityisasiantuntija Markus Rahkola Valtiovarainministeriö

Kansallinen tunnistusratkaisu. Erityisasiantuntija Markus Rahkola Valtiovarainministeriö Kansallinen tunnistusratkaisu Erityisasiantuntija Markus Rahkola Valtiovarainministeriö Mitä ongelmaa ollaan ratkaisemassa? Kykyä vastata kansallisesti tulevaisuuden haasteisiin digitalisoituvassa maailmassa

Lisätiedot

Kieku-tietojärjestelmä Työasemavaatimukset

Kieku-tietojärjestelmä Työasemavaatimukset Valtiokonttori Kieku-toimiala Ohje 18.5.2015 Kieku-tietojärjestelmä Työasemavaatimukset Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.00 15.2.2012 Eero Haukilampi

Lisätiedot

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta. Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen

Lisätiedot

Turvallinen etäkäyttö Aaltoyliopistossa

Turvallinen etäkäyttö Aaltoyliopistossa Turvallinen etäkäyttö Aaltoyliopistossa Diplomityöseminaari Ville Pursiainen Aalto-yliopiston tietotekniikkapalvelut Valvoja: Prof Patric Östergård, Ohjaajat: DI Jari Kotomäki, DI Tommi Saranpää 7.10.2016

Lisätiedot

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen) Valtiokonttori Kieku-toimiala Ohje Mikko 18.4.2016 Kieku-tietojärjestelmä Työasemavaatimukset 1 (5) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.5 12.2.2014 Mikko

Lisätiedot

Option GlobeSurfer III pikakäyttöopas

Option GlobeSurfer III pikakäyttöopas Option GlobeSurfer III pikakäyttöopas Laitteen ensimmäinen käyttöönotto 1. Aseta SIM-kortti laitteen pohjaan pyötätuen takana olevaan SIM-korttipaikkaan 2. Aseta mukana tullut ethernetkaapeli tietokoneen

Lisätiedot

SELVITYS TIETOJEN SUOJAUKSESTA

SELVITYS TIETOJEN SUOJAUKSESTA 1 (5) Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :n mukainen selvitys tietojen SELVITYS TIETOJEN SUOJAUKSESTA Määritelmät Tämä selvitys koskee

Lisätiedot

Ti5313500 Tietoturvan Perusteet : Politiikka

Ti5313500 Tietoturvan Perusteet : Politiikka Ti5313500 Tietoturvan Perusteet : Pekka Jäppinen 12. joulukuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 12. joulukuuta 2007 Ohjeistus/säännöt henkilöstölle kuinka toimia Kertoo mitä

Lisätiedot

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai 6.3.2003 Jari.Pirhonen@atbusiness.com Senior Consultant, CISSP, CISA AtBusiness Communications Oyj www.atbusiness.com Copyright 2003 AtBusiness

Lisätiedot

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?

Lisätiedot

HELSINGIN KAUPUNKI OHJE 1/8 LIIKENNELAITOS

HELSINGIN KAUPUNKI OHJE 1/8 LIIKENNELAITOS HELSINGIN KAUPUNKI OHJE 1/8 TIETOTURVALLISUUDEN OHJE TIETOTEKNIIKAN KÄYTTÄJÄLLE Johdanto Tässä ohjeessa kuvataan Helsingin kaupungin liikennelaitoksen hallintokuntakohtaiset tietotekniikan käyttöä koskevat

Lisätiedot

Kansallinen palveluarkkitehtuuri digitalisoituvan yhteiskunnan selkärankana

Kansallinen palveluarkkitehtuuri digitalisoituvan yhteiskunnan selkärankana Kansallinen palveluarkkitehtuuri digitalisoituvan yhteiskunnan selkärankana Julkisen hallinnon ICT-toiminto Yksikön päällikkö Riku Jylhänkangas 20.5.2014 Taloudellinen tilanne synkkä Miksi? Osaaminen on

Lisätiedot

eresepti- ja KANTA-hankkeissa

eresepti- ja KANTA-hankkeissa Tietoturvallisuus ja yksityisyydensuoja 1 eresepti- ja KANTA-hankkeissa Teemupekka Virtanen Sosiaali- ja terveysministeriö teemupekka.virtanen@stm.fi 2 Käsitteitä Tietosuoja, yksityisyyden suoja Periaatteessa

Lisätiedot

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN

Lisätiedot

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi Julkinen Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi 20.11.2013 Julkinen 2 VML 131 Velvollisuus korjata häiriö Jos viestintäverkko tai laite aiheuttaa vaaraa tai

Lisätiedot

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016 1 (9) Rauman kaupunki Tietoturvapolitiikka Kaupunginhallitus hyväksynyt 30.5.2016, KH 274, RAU/522/07.03.00/2016 2 (9) Sisällys 1. Johdanto... 3 2. Tietoturvapolitiikan tarkoitus... 3 3. Ketä tämä tietoturvapolitiikka

Lisätiedot

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Kyberturvallisuus toiminta Valtio Kyberturvallisuuden poliittinen ohjaus kuuluu valtioneuvostolle,

Lisätiedot

Taitaja 2015 Windows finaalitehtävä

Taitaja 2015 Windows finaalitehtävä Taitaja 2015 Windows finaalitehtävä Tehtäväkuvaus Tehtävänäsi on siirtää, asentaa ja määritellä yrityksen Windows -ratkaisuihin perustuva IT-ympäristö. Käytä salasanaa Qwerty123, jos muuta ei ole pyydetty.

Lisätiedot

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus Verkostokehittäjät-hanke 22.9.2016 Tietosuoja ja tietoturvallisuus 1 2 Esityksen sisältö Käsitteitä Juridiikkaa Miksi? Rekisteröidyn oikeudet Rekisterinpitäjän velvollisuudet Rekisterinpitäjän tarkistuslista

Lisätiedot

TeliaSonera Identity and Access Management

TeliaSonera Identity and Access Management TeliaSonera Identity and Access Management 22.10.2009 EMC Forum Juha Arjoranta 1 TeliaSonera Identity and Access Management Alustus käyttövaltuushallintaan IAM kokonaisratkaisun elementit Nykytilaa ja

Lisätiedot

Tietokoneiden ja mobiililaitteiden suojaus

Tietokoneiden ja mobiililaitteiden suojaus Tietokoneiden ja mobiililaitteiden suojaus mikko.kaariainen@opisto.hel.fi 4.10.2016 Lataa luennon materiaali, kirjoita osoite selaimen osoitelokeroon: opi.opisto.hel.fi/mikko Haittaohjelmat (malware) Virukset,

Lisätiedot

TEEMME KYBERTURVASTA TOTTA

TEEMME KYBERTURVASTA TOTTA TEEMME KYBERTURVASTA TOTTA Petri Kairinen, CEO (twitter: @kairinen) Pörssin Avoimet Ovet 1.9.2015 1.9.2015 Nixu 2015 1 PIDÄMME DIGITAALISEN YHTEISKUNNAN TOIMINNASSA. 1.9.2015 Nixu 2015 2 DIGITAALINEN YHTEISKUNTA

Lisätiedot

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi

Lisätiedot

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP

Lisätiedot

TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op) 1 TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op) 19.1. 16.12.2011 2 KAJAANIN AMMATTIKORKEAKOULU Tervetuloa päivittämään ja kehittämään osaamistasi Kajaanin ammattikorkeakoulun järjestämiin

Lisätiedot

IDA-tallennuspalvelun käyttölupahakemus

IDA-tallennuspalvelun käyttölupahakemus IDA-tallennuspalvelun käyttölupahakemus Uusi hakemus Käyttäjätietojen muutos Projektin vastuuhenkilön yhteystiedot: Etu- ja sukunimi: Mikäli sinulla ei ole HAKA-tunnusta, täytä seuraavat kentät: Projektin

Lisätiedot

Tietoturva hallinnossa Jukka Kuoksa, Johtava vesitalousasiantuntija

Tietoturva hallinnossa Jukka Kuoksa, Johtava vesitalousasiantuntija Tietoturva hallinnossa 13.12.2016 Jukka Kuoksa, Johtava vesitalousasiantuntija Esityksen sisältö Tietoturvallisuuden organisointi ja vastuut (LAP) Työntekijän vastuu tietoturva-asioissa Mistä tietoa löytyy?

Lisätiedot

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot Ohje 1 (5) Dnro: 11.11.2015 190/651/2015 Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot 1 Johdanto Tässä dokumentissa kuvataan ne kryptografiset vähimmäisvaatimukset,

Lisätiedot

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat Tomi Hasu Kyberturvallisuuskeskus 6.10.2015 1 Kyberturvallisuutta vai tietoturvallisuutta? Tietoturvallisuus koskee tietojärjestelmien ja verkkojen

Lisätiedot

KUUMA-ICT:n ja kuntien työnjako Palvelusopimuksen liite 6

KUUMA-ICT:n ja kuntien työnjako Palvelusopimuksen liite 6 :n ja kuntien työnjako Palvelusopimuksen liite 6 13.4.2016 Käytettyjen lyhennysten selvitykset: R = responsible (vastuullinen) - R-toimija suorittaa annetun tehtävän - jokaisella tehtävällä on ainakin

Lisätiedot

Pikaviestinnän tietoturva

Pikaviestinnän tietoturva Ongelmat, vaihtoehdot ja ratkaisut 4.5.2009 Kandidaatintyö, TKK, tietotekniikka, kevät 2009 Varsinainen työ löytyy osoitteesta http://olli.jarva.fi/kandidaatintyo_ pikaviestinnan_tietoturva.pdf Mitä? Mitä?

Lisätiedot

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus) Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen 2012 2014 (pohjaehdotus) Arviointilomakkeiden tarkoitus Kunkin vastuualueen ja tulosyksikön sisäisen valvonnan

Lisätiedot

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

TIETOTURVATASOVAATIMUKSET HANKINNOISSA TIETOTURVATASOVAATIMUKSET HANKINNOISSA Mikäli muuta ei mainita, Toimittajan (ei Asiakkaan) tulee suorittaa tässä taulukossa kuvatut toimenpiteet, jotka kohdistuvat hankinnan kohteeseen eli palveluun. Tietoturvatasoj

Lisätiedot

Lapin yliopiston ICT-palveluiden käyttösäännöt

Lapin yliopiston ICT-palveluiden käyttösäännöt Tietohallinto Tietoturva, sääntö 13.5.2015 Julkinen Lapin yliopiston ICT-palveluiden käyttösäännöt Versio pvm Muutokset Henkilö 1.0 13.05.2016 Dokumentti luotu Esa Mätäsaho 1.0 13.05.2016 Käsitelty yhteistoimintaneuvostossa

Lisätiedot

Käyttäjien ja käyttövaltuuksien hallinta terveydenhuollon alueella

Käyttäjien ja käyttövaltuuksien hallinta terveydenhuollon alueella Käyttäjien ja käyttövaltuuksien hallinta terveydenhuollon alueella Terveydenhuollon ATK-päivät Turku 29.-30.5.2007 Lasse Lähde, CISA, CISSP Mistä halutaan? Identiteetin hallinta Oikeat käyttövaltuudet

Lisätiedot

Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija

Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0 Kuntamarkkinat 14.9.2016 Tuula Seppo, erityisasiantuntija Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0 Hallinnon toimintatapojen digitalisointi

Lisätiedot

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle Ohje 1 (6) Käyttöönottosuunnitelma -kotiorganisaatiolle Ohje 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen

Lisätiedot

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä Järjestelmätoimitusprosessin tietoturva 30.9.2009 Mikko Jylhä mikko.jylha@deloitte.fi Esityksen rakenne Puhujan esittäytyminen 3 min A) Toimitussisällöstä sopiminen tietoturvanäkökulmasta 15 min B) Toimitusprosessiin

Lisätiedot

Mikko Hollmén Kiinteistöjohtaja, PSSHP Sairaalatekniikan päivät

Mikko Hollmén Kiinteistöjohtaja, PSSHP Sairaalatekniikan päivät Mikko Hollmén Kiinteistöjohtaja, PSSHP Sairaalatekniikan päivät 8.2.2017 Paljon on kysymyksiä, vähemmän vastauksia? SSTY Kyberturvallisuusseminaari 19.10.2016 Kyberturvallisuus on turvallisuuden osa- alue,

Lisätiedot

Määräys. 1 Soveltamisala

Määräys. 1 Soveltamisala 1 (7) Määräys TUNNISTUSPALVELUN TARJOAJIEN JA LAATUVARMENTEITA TARJOAVIEN VARMENTAJIEN TOIMINNAN LUOTETTAVUUS- JA TIETOTURVALLISUUSVAATIMUKSISTA Annettu Helsingissä 20 päivänä lokakuuta 2010 Viestintävirasto

Lisätiedot

Avoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4

Avoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4 Avoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4 Tämän esityksen sisältö tausta avoimet toimittajakohtaiset rajapinnat (toimittajan hallitsemat rajapinnat) avoimet yhteiset rajapinnat (tilaajan

Lisätiedot

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, risto.hakala@ficora.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Miten tietoa voidaan suojata? Mitä yksityiskohtia salausratkaisun

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan 1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Palvelujen käyttöönotto ja tuki Tutkinnon osaan kuuluvat opinnot: Työasemaympäristön suunnittelu ja toteuttaminen Kouluttaminen ja asiakastuki

Lisätiedot

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI TIETOSUOJAVALTUUTETUN TOIMISTO MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI Päivitetty 27.07.2010 www.tietosuoja.fi 2 Malli henkilötietojen käsittelyn/henkilörekisterin

Lisätiedot

Terveydenhuollon yksiköiden valmiudet liittyä KanTa an

Terveydenhuollon yksiköiden valmiudet liittyä KanTa an Terveydenhuollon yksiköiden valmiudet liittyä KanTa an ATK-päivät 27.5.09 Sessio: Sähköinen asiointi Ilkka Winblad*, Päivi Hämäläinen**, Jarmo Reponen* *FinnTelemedicum Oulun yliopisto **Terveyden ja hyvinvoinnin

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 1.0 ESPOON KAUPUNKI 02070 ESPOON KAUPUNKI WWW.ESPOO.FI ESBO STAD 02070 ESBO STAD WWW.ESBO.FI Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuus...

Lisätiedot

Lokitietojen käsittelystä

Lokitietojen käsittelystä Lokitietojen käsittelystä ylitarkastaja Sari Kajantie/KRP Esityksen lähtökohdista Tavoitteena lisätä ymmärrystä kriteereistä, joilla lokien käsittelytavat tulisi määritellä jotta pystytte soveltamaan käsittelytapoja

Lisätiedot

Tietosuojakysely 2016

Tietosuojakysely 2016 Tietosuojakysely 2016 Yksityinen terveydenhuolto Kansaneläkelaitos Tietosuojavaltuutetun toimisto Sisällys Tietosuojakysely 2016 tulokset yksityinen terveydenhuolto... 2 Yleistä... 2 Tietosuojavastaavat...

Lisätiedot

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta LIITE 2 Kotimaisten kielten tutkimuskeskuksen tietojärjestelmien ja tietoliikenneverkon käytön säännöt Sisältö 1. Yleistä 2. Käytön periaatteet 3. Käyttäjän asema 4. Käyttäjätunnukset ja salasanat 5. Asianmukainen

Lisätiedot

Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa

Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa Suostumusten hallinta kansallisessa tietojärjestelmäarkkitehtuurissa 30.5.2007 Maritta Korhonen 24.03.2013 1 Taustaa Sosiaali- ja terveydenhuollossa hyödynnettävälle tietoteknologialle asettaa erityisvaatimuksia

Lisätiedot

Kolmannen vuoden työssäoppiminen (10 ov)

Kolmannen vuoden työssäoppiminen (10 ov) Kolmannen vuoden työssäoppiminen (10 ov) 1. Palvelujen käyttöönotto ja tuki (5 ov) Ammattitaitovaatimukset tai tutkinnon suorittaja osaa asentaa ja vakioida työasemalaitteiston, sovellusohjelmat sekä tietoliikenneyhteydet

Lisätiedot

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan Ammattitaidon osoittamistavat 1(6) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Tietoturvan ylläpito 15 osp Tietoturvan ylläpito Tutkinnon osan ammattitaitovaatimukset: työtehtävien suunnittelu ja valmistelu oman työn

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa

Lisätiedot

HELSINGIN KAUPUNKI REKISTERISELOSTE 1 (5) LIIKUNTAVIRASTO Helsingin kaupungin liikuntaviraston varaus- ja ilmoittautumisjärjestelmä

HELSINGIN KAUPUNKI REKISTERISELOSTE 1 (5) LIIKUNTAVIRASTO Helsingin kaupungin liikuntaviraston varaus- ja ilmoittautumisjärjestelmä HELSINGIN KAUPUNKI REKISTERISELOSTE 1 (5) HELSINGIN KAUPUNGIN N VARAUS- JA ILMOITTAUTUMISJÄRJESTELMÄN REKISTERISELOSTE 1 REKISTERIN NIMI Helsingin kaupungin liikuntaviraston varaus- ja ilmoittautumisjärjestelmä

Lisätiedot

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO 29.9.2015 Palvelulupauksemme Tarjoamme julkishallinnolle mahdollisuuden Suomen ja EU-kansalaisen sähköiseen tunnistamiseen tietoturvallisesti eri

Lisätiedot

Ohje salauskäytännöistä

Ohje salauskäytännöistä Ohje salauskäytännöistä 11.11.2015 Kimmo Rousku VAHTI Tilaisuuden ohjelma 1/2 2 Tilaisuuden ohjelma 2/2 3 Esityksessäni Miksi salaus on tärkeää? Muuttunut uhkatilanne Salaus on mahdollistaja Ohjeen esittely

Lisätiedot

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, risto.hakala@viestintavirasto.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Tiedon suojauksessa käytetyt menetelmät Salausratkaisun arviointi

Lisätiedot

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Kehittämispäällikkö Anna Kärkkäinen, THL Sosiaali- ja terveydenhuollon tietosuojaseminaari, Lahti 16.11.2016 Esityksen

Lisätiedot

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten? Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten? 20.11.2015 Kimmo Rousku, VAHTI-pääsihteeri Julkisen hallinnon ICT-toiminto Kyberturvallisuus- ja infrastruktuuriyksikkö

Lisätiedot

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut Järjestelmän asetukset Järjestelmänhallinnan työkalut Ubuntussa järjestelmän hallintaan ja asetusten muokkaamiseen tarkoitetut ohjelmat on koottu Järjestelmä-valikon alle Asetukset- ja Ylläpito -alavalikoista

Lisätiedot

Sähköisen tunnistamisen järjestäminen julkisessa hallinnossa. @kimmomakinen 29.9.2015

Sähköisen tunnistamisen järjestäminen julkisessa hallinnossa. @kimmomakinen 29.9.2015 Sähköisen tunnistamisen järjestäminen julkisessa hallinnossa @kimmomakinen 29.9.2015 Uusi toimintamalli Asiointipalvelu - Asiointipalvelu pyytää kansalaisesta ajantasaisia henkilötietoja Kunta X asiointipalvelu

Lisätiedot

Tulevaisuuden Internet. Sasu Tarkoma

Tulevaisuuden Internet. Sasu Tarkoma Tulevaisuuden Internet Sasu Tarkoma Johdanto Tietoliikennettä voidaan pitää viime vuosisadan läpimurtoteknologiana Internet-teknologiat tarjoavat yhteisen protokollan ja toimintatavan kommunikointiin Internet

Lisätiedot