Valtion IT-palvelukeskuksen tietoturvapalvelujen ajankohtaiset kuulumiset

Transkriptio

1 Valtion IT-palvelukeskuksen tietoturvapalvelujen ajankohtaiset kuulumiset Tietoturvatasojen ja KATAKRIvaatimusten hallintavälineet Apulaisjohtaja Kimmo Rousku Valtiokonttori, Valtion IT-palvelukeskus

2 Vuosi 2011 Valtion IT-palvelukeskuksen tietoturvallisuuden kehittäminen Valtion IT-palvelukeskuksen tuottamat palvelut ja osallistuminen VAHTI-työskentelyyn

3 Valtion IT-palvelukeskuksen tietoturvallisuuden kehittäminen Valtion IT-palvelukeskus on osallistunut Valtiokonttorin riskienhallinnan johtamaan tietoturvallisuuden kehittämishankkeeseen - Marraskuussa tehty auditointi osoitti sen, että Valtiokonttorin tietohallinnon tuottama hallinnollinen tietoturvallisuus täyttää korotetun tietoturvatason - Tekninen puoli täyttää perustason

4 Valtion IT-palvelukeskuksen tietoturvallisuuden kehittäminen VIPillä on meneillään seuraavat hankkeet, joilla meidän asiakkaillemme tuottamien palveluiden tietoturvallisuudesta huolehditaan ISO27001-hanke - Sertifiointivalmius v 2013 Tietoturvallisuus jatkuvissa palveluissa toimintamalli Tietoturvallisuus hankkeissa toimintamalli - Näiden avulla saavutamme myös palveluissamme tietoturvallisuusasetuksen edellyttämät velvoitteet

5 Valtion IT-palvelukeskuksen tietoturvallisuuden kehittäminen Uusissa palveluissa osana hankkeen elinkaarenhallintaa, keskeisessä roolissa kilpailutuksessa edellytettävät tietoturvallisuutta koskevat vaatimusmääritykset VIP Tietoturvallisuus 1.0 hankkeissa -toimintamalli Olemassa olevien, ns. jatkuvien palveluiden osalta edellytetään tietoturvatasojen ja siinä yhteydessä muiden keskeisten palvelun tuottamiseen liittyvien toimintamallien saavuttamista VIP Tietoturvallisuus 1.0 jatkuvissa palveluissa - toimintamalli

6 Miten tietoturvallisuus toteutetaan?

7 Suunnittelun ja kilpailutuksen tietoturvavaatimukset

8 Missä ongelmat syntyvät? Mitä aikaisemmassa vaiheessa mahdolliset ongelmat löydetään, sitä kustannustehokkaampaa niiden korjaaminen on Kustannuskerroin 100 Vaatimusmäärittely, kilpailutus ja sopimukset ovat ratkaisevassa roolissa! Tarvittavat auditoinnit / haavoittuvuusskannus jatkuvassa palvelussa 10 Tarvittavat auditoinnit hankevaiheen aikana 1 Aika

9 VIP Tietoturvallisuus Hankkeissa 1.0 -toimintamalli 1. Tietoturvatasovaatimukset (TTA 681/2010, VAHTI 2/2010) - ST IV / III tasojen tietoaineiston käsittelykyky sekä perus- että korotettu tietoturvataso 2. ICT-varautumisen vaatimukset - VM-hanke, jolla vaatimukset viimeistellään ja virallistetaan, tässä käytetty luonnosversion vaatimuksia

10 VIP Tietoturvallisuus Hankkeissa 1.0 -toimintamalli 3. Tekniset vaatimukset - Palvelun tuottamiseen käytettävän palvelin- ja tietoliikenneympäristön, sekä käyttöpalvelutoimittajaa koskevat yleiset tietoturvavaatimukset - Perustuvat yleisiin best practice malleihin 4. Sovelluskehityksen vaatimukset - Vaatimukset palvelussa tai palvelulle tuotettavalle sovelluskoodille ja sovelluskehitysprosessille - Lähtökohtana ensi vaiheessa SANS/CWE Top25 ja OWASP Top Ten listausten mukaisiin ohjelmointivirheisiin ja haavoittuvuuksiin puuttuminen Päivitetään tulevan sovelluskehityksen VAHTI-ohjeen mukaisesti

11 VIP Tietoturvallisuus Hankkeissa 1.0 -toimintamalli 5. Hankittavan kohteen erityisvaatimukset - Esim. riskianalyysin pohjalta tuotettavat, juuri tätä hankintaa koskevat tietoturvavaatimukset 6. Jatkuvassa palvelussa edellytettävät asiat - Ennen hankkeen hyväksyntää edellytettävät jatkuvan palvelun tietoturvaprosesseihin liittyvät vaatimukset - Perustuvat VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 toimintamallin mukaiseen tietoturvallisuuden vuosikelloon

12 Tietoturvallisuus jatkuvissa palveluissa

13 VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli 1. Järjestelmän ja ympäristön perustiedot ja kuvaukset - Turvallisuuskuvaus, järjestelmäkuvaus, rekisteriselosteet 2. ICT-riskien arviointiprosessi - Arvioidaan vuosittain, kehitys- ja korjaustoimenpiteiden etenemisen seuranta 2-4 kertaa vuodessa 3. Jatkuvuussuunnittelu - Kuvaus varautumistoimenpiteistä ja toiminnan jatkuvuuden takaamisesta normaaliolojen häiriötilanteissa 4. Toipumissuunnitelma(t) - Palvelu- tai järjestelmäkohtainen yksityiskohtainen suunnitelma teknisistä häiriöistä toipumiseen - Häiriöviestinnällä keskeinen rooli

14 VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli 5. Palvelun auditointisuunnitelma sekä suoritettavat säännönmukaiset auditoinnit - Säännölliset tietoturva-auditoinnit palvelun kriittisyyden ja siinä käsiteltävien tietojen vaatimusten mukaan - Valtiokonttori osallistuu VM:n rahoittamaan haavoittuvuusskannauspalvelu-hankkeeseen ja kaikki keskeiset internet-verkkoon näkyvät palvelut liitetään tähän mukaan 6. Sopimusten katselmointi tietoturvallisuuden osalta - Vuositasolla katselmoidaan sopimusten toteutuminen 7. Tietoturvallisuuden liittäminen toimittajayhteistyöhön - Säännöllisissä toimittajatapaamisessa tietoturva-asiat ovat asialistalla (poikkeamat, raportit, kehitys)

15 VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli 8. Tietoturvapoikkeamien hallinta ja raportointi - Häiriötilanteiden hallinta, eli vastuut, yhteyskanavat ja eskalointi tietoturvapoikkeamien tai niiden epäilyjen ilmetessä 9. Tietoturvallisuuden vastuunjakotaulukko - Kuvaus tietoturvallisuuden vastuista sidosryhmittäin ja rooleittain - Suosituksena RACI-malli 10. Palvelun tietoturvallisuuden vuosikello - Miten edellä kuvatut toimenpiteet sidotaan organisoituun ja säännölliseen toimintamalliin

16 TTT ja ICT-varautuminen Pääsääntöisesti Valtiokonttorin tuottamat palvelut tulevat täyttämään korotetun tietoturvatason sekä korotetun ICT-varautumisen tason - Oletuksena Valtiokonttorin palvelut eivät ole rakennettu käsittelemään kv-turvallisuusluokiteltuja tietoaineistoja VN-palveluiden osalta selvitystyö käynnistynyt siitä, miten tämä tulee jatkossa huomioida ja toteuttaa Valtion IT-palvelukeskuksen tuottamat Valtion yhteiset ITpalvelut on tarkoitettu normaalioloihin - Niiltä osin kuin palveluilta odotetaan yhteiskunnan turvallisuusstrategian mukaista toimintakykyä, sitä kasvatetaan palvelukohtaisesti - Häiriötön tuotanto!

17 Valtion yhteiset tietoturvapalvelut - yhteishankkeet VM:n rahoittamat yhteishankkeet tietoturvallisuusasetuksen täytäntöönpano Kolme aaltoa, joista viimeisin käynnistyy 1/2012 vielä mahtuu Mikaelin luvalla mukaan! Noin 50 organisaatiota jo mukana! - Jos et tämän hankkeen ja siinä suoritettavien kotitehtävien avulla saa perustasoa saavutettua, ei se onnistu millään muullakaan tavalla - ainakaan yhtä helposti tyytyväisyystakuu! - Hanke kestää noin 18 kk ja sisältää työpajatilaisuuden / seminaarin kerran kuukaudessa Kotitehtävien tekemisen merkitys erittäin suuressa roolissa! - Ennen kesälomia pidetään väliseminaari, jossa sopivaa erityisohjelmaa - Maailman paras vertaisapuverkko jaettu tuska on yhteinen tuska!

18 Valtion yhteiset tietoturvapalvelut - yhteishankkeet Haavoittuvuusskannauspalvelu sama kuin edellä, kolme aaltoa käynnistetty 46 virastoa nyt mukana - Näistä 7:llä skannaukset liikkeellä, kolmella odottaa lupien valmistumista ja seuraavat 3 ovat prosessissa Asiakkaan ja hänen toimittajien välinen lupaprosessi oletettua hitaampaa = sopiminen asioista (kustannukset, ongelmat, vastuut) - Meille toimittamienne tietojen mukainen skannaus kerran kuukaudessa: Yksittäinen / yksittäisiä IP-osoitteita Laajempi verkkoavaruus - Saatte raportin skannauksen jälkeen tuloksista Jotain tarttis tehrä = kriittiset poikkeamat pitää korjata MIKSI?

19

20 Valtion yhteiset tietoturvapalvelut - yhteishankkeet Edellisen lisäksi teillä on mahdollista tilata sovellustason turvallisuustarkastus-palvelu yksittäiseen esimerkiksi verkkosovellukseen, jossa oikea ihminen (laillisesti) yrittää murtautua verkkopalveluunne samoilla keinoilla millä mahdollinen tietoverkkorikollinen.

21 Valtion yhteiset tietoturvapalvelut - asiantuntijapalvelut Tietoturvapäällikkö/asiantuntijapalvelussa 4 asiantuntijaa 7 eri asiakkaalla, yritämme saada lisärekrytoinnit käyntiin alkuvuodesta Kaupallisten toimijoiden asiantuntijatoimeksiantojen lukumäärä noin 80 kpl => 5 htv - Valtaosa erilaisia auditointeja, yhteishankkeiden kautta virasto saa 4 htp konsultointia, josta valtaosa toteutetaan v 2012 kuluessa - Käytämme edelleen jatkossa Hanselin voimassa olevaa johdon konsultoinnin puitesopimuksen kautta kilpailutettuja toimittajia Turvallisuusselvitys, vaitiolositoumus, säännölliset koulutukset vajaalle 100 asiantuntijalle

22 Valtion yhteiset tietoturvapalvelut - verkkokoulutukset Valtion IT-palvelukeskuksen työkalupakin noin 200 käyttäjällä on käytettävissään kattava tietoturvallisuuteen liittyvä materiaalikokonaisuus sekä kolme maksutonta verkkokoulutuskokonaisuutta: - Henkilöstön tietoturvakoulutus - Johdon tietoturvakoulutus - Tietoaineiston käsittelyn verkkokoulutus Alkuvuosi Sosiaalinen media - Hankintojen tietoturvaohje - Tietoturvatasot ja ICT-varautuminen

23 Valtion yhteiset tietoturvapalvelut - työkalupakki Teitä on >200 rekisteröitynyttä käyttäjää työkalupakissa! Tulemme siirtämään materiaalipankin, keskustelualueet ja blogit & wikit VIPin tuottamaan VYVI-palvelun VERKKO-työryhmäpalveluun alkuvuoden aikana Samalla avaamme työkalupakin avoimen datan periaatteella kaikille koko julkishallinto, yritykset sekä yksittäiset kansalaiset!

24 Uusin tukipalvelumme teille Lisäksi uusimpana, Kysy tietoturvallisuudesta asiantuntijapalvelumme, linkittämällä alla olevan painikkeen vaikkapa organisaationne intranet-verkkoon, henkilöstönne voi kysyä tietoturvallisuudesta yleisellä tasolla Valtion IT-palvelukeskuksen asiantuntijoilta

25 TTT ja KATAKRI & ICTvarautuminen Lämmittelykysymys: - Kuinka monella teistä on sellaisia suojattavia kohteita, joissa edellytetään aka vaaditaan KATAKRIvaatimuskriteereiden täyttämistä?

26 TTT, K2 ja ICT-varautumisen vaatimusten hallintaan keskitetty työväline Osana vetämäni VAHTI teknisen tietotekniikkaympäristön tietoturvaohjetta huomasimme, että hallinnossa ja toimittajien puolella tehdään merkittävä määrä moninkertaista ja päällekkäistä työtä, kun osa asiakkaista ja toimittajista miettii, miten tietoturvallisuuden osalta he toteuttavat TTT ja K2- vaatimuksia. Valmistellakseni VM:lle tehtävää esitystä lähestyin noin 20 organisaatiota (14 valtionhallintoa, 2 käyttöpalvelu, 2 teleoperaattoria, 2 tietoturva-yritystä) epävirallisella kyselyllä ja kommentoinnilla ja kaikkien kanta asiaan oli myönteinen

27 TTT, K2 ja ICT-varautumisen vaatimusten hallintaan keskitetty työväline Valtion IT-palvelukeskus on esittänyt seuraavaa: - VM käynnistää VAHTI-hankkeen, jonka toteutusvastuu on VIPillä, jonka tehtävänä on tuottaa yhteinen työväline siten, että sen avulla voidaan hallita seuraavia vaatimuksia & auditointikriteereitä mahdollisimman helppokäyttöisesti ja joustavasti: - Tietoturvatasot - KATAKRI - Tulevat ICT-varautumisen vaatimukset Pyydämme samalla lupaa, että voimme muokata olemassa olevia tietoturvatasovaatimuksia saatujen kokemusten perusteella paremmin toimivaksi (ns. kevyt päivitys) - Jokainen päivitysehdotus perustellaan, hyväksytetään ja dokumentoidaan edesauttaa myös ICT-varautumisen vaatimuksia

28 Esimerkki TTT Toiminnan kehittäminen riskien arvioinnilla K2 A 401.2

29 TTT, K2 ja ICT-varautumisen vaatimusten hallintaan keskitetty työväline Teimme kokeellisen kuiluanalyysin K2 vs TTT, se osoitti että - 14 vaatimusta ei löydy lainkaan sellaisenaan - 39 vaatimusta löytyy ja saadaan varmaankin varsin suoraan mäpättyä - 15 osittain Vastaavasti toisin päin uskomme, että TTT vs K2 saadaan haettua yhteisiä vaatimuksia / kontrolleja, jotka voidaan sopia mäpättäväksi sellaisenaan tai niin, että K2:n puolella vaaditaan vielä jotakin pientä lisää

30 TTT, K2 ja ICT-varautumisen vaatimusten hallintaan keskitetty työväline Työväline versio TTT, K2 ja tulevat uuden ICT-varautumisen vaatimukset - Standalone-toteutus Visuaalinen, esimerkiksi Excelin taustalleen piilottava sovellus - Helppokäyttöisyys - Raportoitavuus (tietoturvaporno) - Valmis keväällä 2012 Työväline versio Nettipalvelu - => itse asiassa tarvitaanko julkishallintoon oma tietoturvallinen vaatimustenhallintapalvelu / väline Ei pelkästään tietoturvallisuus vaan myös muuhun käyttöön?

31