Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2001 SALAUSKÄYTÄNTÖJÄ KOSKEVA VALTIONHALLINNON TIETOTURVALLISUUSSUOSITUS

Koko: px
Aloita esitys sivulta:

Download "Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2001 SALAUSKÄYTÄNTÖJÄ KOSKEVA VALTIONHALLINNON TIETOTURVALLISUUSSUOSITUS"

Transkriptio

1 Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2001 SALAUSKÄYTÄNTÖJÄ KOSKEVA VALTIONHALLINNON TIETOTURVALLISUUS Salausmenetelmien käyttö valtion tietohallinnossa

2 SISÄLTÖ ESIPUHE JOHDANTO Hankkeen tausta Suosituksen laatiminen Suosituksen tarkoitus, kohderyhmä ja rajaus Terminologia ja teknologia SUOSITUKSET Yleistä Käytettäviksi suositeltavat algoritmit tapauskohtaisesti Salauskäytännöt eri käsittelyvaiheissa Salaustuotteiden tason ja toiminnan varmistaminen Sähköinen tunnistus, todentaminen ja allekirjoitus Tiedonsiirron ja tietojen salauspolitiikka Jatkotoimenpidesuositukset LÄHTÖKOHTIEN KUVAAMINEN Lähtökohdat on kuvattu erillisessä taustamateriaalissa SALAUSALGORITMIEN JA -MENETELMIEN SOVELTUVUUDEN ARVIOINTI Salaustekniset peruselementit Symmetriset lohkosalaajat (symmetric block ciphers) Synkroniset jonosalaajat (synchronous stream ciphers) Itsesynkronoituvat jonosalaajat (self-synchronising stream ciphers) Symmetriseen salaukseen ja muut salaiseen avaimeen perustuvat tiivistefunktiot Törmäyksettömät (avaimettomat) tiivistefunktiot Yksisuuntaiset (avaimettomat) tiivistefunktiot (one-way hash functions, OWHF) Näennäissatunnaisten toimintojen perheet (Families of pseudorandom functions) Epäsymmetriset salausjärjestelmät (asymmetric encryption schemes) Epäsymmetriset digitaalisen allekirjoituksen järjestelmät (asymmetric digital signature schemes) Epäsymmetriset tunnistus- ja todennusjärjestelmät (asymmetric identification schemes) Salausmenetelmien turvallisuustason arvioinnin ja analysoinnin lähtökohtia Turvallisen avainten hallinnan lähtökohtia Salausmenetelmän vahvuus Yleiset perusteet Esimerkkejä tuotteista Wassenaarin järjestely USA:n vientirajoitukset Riittävien avainpituuksien määrittely Yleistä Turvallisten salausteknisten peruselementtien perusvaatimukset Salaustekniikkaan perustuvien tietoturvasovellusten perusvaatimukset Sähköinen tunnistaminen, todentaminen ja allekirjoitus... 31

3 4.6.2 Tiedonsiirron ja sähköpostin luottamuksellisuuden ja eheyden turvaaminen Säilytettävien tietoaineistojen luottamuksellisuuden ja eheyden turvaaminen SALAUKSEN KÄYTÖN KEHITYSNÄKYMIÄ Vahva todentaminen Luottamuksellisuuden turvaaminen Eheyden valvontamekanismit Tekninen hallinnointi KATSAUS MARKKINOILLA OLEVIIN SALAUSOHJELMISTOIHIN LÄHTEET VALTIOVARAINMINISTERIÖN ANTAMIA TIETOTURVALLISUUSOHJEITA

4 ESIPUHE Tämä suositus on tehty valtionhallinnon tietoturvallisuus- ja tietohallintoasiantuntijoille avuksi organisaation salauskäytäntöjen määrittelyyn. Salaukseen perustuvilla tietoturvallisuuden sovelluksilla voidaan parantaa tietoturvallisuuden tasoa kaikilla osa-alueilla: luottamuksellisuus, eheys ja käytettävyys, samoin kuin niiden teknisiin toteutuksiin kuuluvilla käyttöoikeuksien hallinnan ja kiistämättömyyden osa-alueilla. Suosituksessa kannustetaan käyttämään salausta erityissuojattavien tietoaineistojen osalta mahdollisimman laajasti. Salauksen käyttöä voidaan laajentaa kaikkeen tiedonkäsittelyyn sitten, kun salaukseen perustuvat tietoturvaohjelmistot integroituvat käytettäviin sovelluksiin ja tulevat käyttäjille läpinäkyviksi. Luvussa kaksi on selvitetty miten eri toimintojen tietoturvallisuutta voidaan parantaa salausteknisin keinoin ja mitä algoritmeja ja avainpituuksia tulisi käyttää eri tilanteissa. Lisäksi on pohdittu, miten salaustuotteiden tasoa ja toimintaa voidaan arvioida sekä annettu suositukset siitä, millaisissa käyttöympäristöissä (erillinen työasema/suljettu verkko/yleisiin tietoverkkoihin liitetty järjestelmä) eri turvaluokkiin luokiteltuja tietoaineistoja voidaan käsitellä markkinoilla olevia salaustuotteita apuna käyttäen. Luku 3, jossa on kuvattu suosituksen lähtökohdat, on siirretty taustamateriaaliksi. Taustamateriaali on julkaistu erillisenä Internet-osoitteessa: Luvussa 4 on avattu salausalgoritmien ja menetelmien vahvuuden arvioinnin teoriaa sekä annettu yleisohjeita avainten hallinnan järjestämistä. Luvussa 5 on ennustettu salauksen käytön kehitysnäkymiä. Luvussa 6 on taulukkomuotoisesti esitetty markkinoilla olevien ohjelmistojen soveltuvuutta eri toiminnoissa käytettäviin salausmenettelyihin. Taulukko ei ole kattava, siihen on pyritty keräämään Suomessa markkinoilla olevat yleisimmät tuotteet. Jatkotoimenpiteiksi suositusta laatinut työryhmä ehdottaa, että 1) perustetaan verkosto, joka muodostuu valtionhallinnon yksiköissä työskentelevistä, salauskäytännöistä yksiköissään vastaavista henkilöistä ja jonka tehtävänä on kerätä ajantasaista tietoa salauskäytännöistä ja sovelluksista ja levittää tietämystä kaikkiin valtionhallinnon yksiköihin, 2) järjestetään salaustuotteista tarjouskilpailu, jonka perusteella valitaan tuotteet, joista tehdään puitesopimukset valtionhallinnon käyttäjille ja 3) valtionhallinnon hankinnoissa asetetaan etusijalle ne salaustuotteet, jotka on asianmukaisesti sertifioitu. 1

5 1 JOHDANTO 1.1 Hankkeen tausta Salauskäytäntöjen määrittelyn tarve valtionhallinnon asiakirjojen ja sähköpostien käsittelyä varten on noussut esiin muun muassa seuraavissa työryhmissä: Valtionhallinnon tietoturvallisuuden johtoryhmän alaisuudessa toimiva Tietojen luokittelu- ja käsittelyohjeita määrittelevä työryhmä Valtion tietohallinnon johtoryhmän alaisuudessa toimiva Hallinnon turvallinen sähköposti (S/MIME) SM:n asettama Virkamiehen asiointikortti -työryhmä. Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje, Nykyisessä ohjeistuksessa puhutaan yleisesti riittävästä salauksesta, tekniseen toteutukseen, kuten esimerkiksi soveltuviin algoritmeihin ja avainpituuksien riittävyyteen (käyttäjien vapaasti valittavissa olevien avainten määrään) ei ole juurikaan otettu kantaa. Eräitä yksityiskohtia on käsitelty Valtion Internetin käyttö- ja tietoturvallisuussuosituksessa (VAHTI 1/1998). Valtiovarainministeriön hallinnon kehittämisosasto on antanut ohjeen salassa pidettävien tietojen ja asiakirjojen turvaluokitteluista ja merkinnöistä (VM 5/01/2000). 1.2 Suosituksen laatiminen Valtiovarainministeriön hallinnon kehittämisosasto asetti jaoston valmistelemaan salauskäytäntöjä koskevaa valtionhallinnon tietoturvallisuussuositusta. Jaosto toimi valtiovarainministeriön asettaman valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) alaisuudessa ja ohjauksessa. Jaoston kokoonpano oli seuraava: Puheenjohtaja Terho Arja Neuvotteleva virkamies Valtiovarainministeriö Jäsenet Hyytiä Kalevi Tietoturvallisuuspäällikkö Pääesikunta, turvallisuusosasto Ojala Ossi Erikoistutkija Pääesikunta, tietotekniikkaosasto Saarinen Jarmo atk-päällikkö Ulkoasiainministeriö Sillanpää Juhani Tietoturvapäällikkö Sisäasiainministeriö Tuomaila Timo, Tietoturvapäällikkö, Verohallitus Rantanen Tapani Johtaja Telehallintokeskus. Konsultointityön suorittivat ICL:n konsultit Aarno Kansikas ja Juhani Jämiä, yhteistyökumppanina Hannu Koukkula IS-Comsec Oy. 2

6 Suosituksen luonnos lähetettiin lausuntokierrokselle virastoihin, laitoksiin ja tietoturvapalveluita tarjoaviin yrityksiin. Työryhmä käsitteli saamansa 43 lausuntoa ja ne huomioitiin suosituksessa mahdollisuuksien mukaan. 1.3 Suosituksen tarkoitus, kohderyhmä ja rajaus Suositus on tarkoituksellisesti tieto- ja salaustekniikkakeskeinen. Tietoturvallisuuden kehittämisen kokonaisnäkökulmaa sekä muita näkökulmia on esitetty muissa valtinhallinnon tietoturvallisuussuosituksissa ja ohjeistuksissa: (http://www.vn.fi/vm/kehittaminen/tietoturvallisuus/vahti/vahti2.htm ). Tämä suositus on tarkoitettu käytettäväksi yleisohjeena valtionhallinnon organisaatioissa. Kunkin organisaation on syytä tehdä tarkennettu ohje omista salauskäytännöistään. Tähän tarkennettuun ohjeeseen liittyvät tekniset (liite)kuvaukset ja käytännöt on turvaluokiteltava. Suosituksen kohderyhmä on tietoturvallisuuden ja tietohallinnon asiantuntijat, jotka joutuvat työssään tekemään päätöksiä organisaationsa salauskäytännöistä. Suosituksen tehtävänä on: määritellä riittävät salauskäytännöt eheyden turvaamiseen sekä viranomaisten sisäiseen ja viranomaisten väliseen että viranomaisen ja kansalaisten tai asiakkaiden väliseen yhteydenpitoon suosittaa, mitkä salauskäytännöt ovat riittäviä eri tyyppisten tietojen, asiakirjojen ja sähköpostiviestien käsittelyyn eri käsittelyvaiheissa selvittää millaisia ohjelmistoja ja muita tuotteita salauksen toteuttamiseen on tarjolla laatia tietoturvallisuussuositus, jonka avulla voidaan parantaa tietoturvallisuuden tasoa yhtenäistämällä salauskäytäntöjä ja salaustekniikan käyttöä valtionhallinnossa. 1.4 Terminologia ja teknologia Tietoturvallisuuden keskeisimmät käsitteet on määritelty Valtion tietoturvallisuuden johtoryhmän (VAHTI) ohjeessa, Valtionhallinnon tietoturvallisuuskäsitteistö ; 1/2000. Tietoturvallisuusalan nopea kehittyminen on tehnyt tarpeelliseksi tarkentaa joitain määrittelyjä, määritellä jotkut termit uudelleen sekä määritellä aikaisemmin määrittelemättömiä asioita. Tämän työn yhteydessä tarpeellisiksi nähdyt tarkennetut ja uudet määrittelyt on esitetty taustamateriaalissa. Teknologiaa on yksityiskohtaisemmin kuvattu lähdeaineistossa. 3

7 2 SUOSITUKSET 2.1 Yleistä Valtionhallinnon organisaatioiden tietoturvallisuus on kokonaisuus, jonka perustan muodostaa organisaatioiden ja niiden sidosryhmien toiminnan järjestelyillä sekä niiden toimintaa tukevien teleoperaattoreiden tai muiden ulkoistettujen palvelujen tuottajien toimenpiteillä aikaansaatu perusturvallisuus. Turvallisuutta voidaan kehittää perusturvallisuutta paremmaksi yleensä parhaiten organisaatioiden ja niiden sidosryhmien omien tarpeidensa perusteella toteuttamilla lisätoimenpiteillä. Organisaation tietoturvallisuuden kannalta kokonaisturvallisuus on tärkeämpi kuin yksi sen tekijöistä, esimerkiksi salausteknologia. Organisaatiolla tulee olla muun muassa tietoturvallisuuspolitiikka, perusturvallisuuden tietoturvallisuussuunnitelma, tietoturvallisuusarkkitehtuuri, perusinfrastruktuurin tietoturvallisuusratkaisut sekä toiminnassa olevat toipumis- ja varmistusmenettelyt. Salausmenetelmät ja niihin perustuvat laajemmat tietoturvaratkaisut ovat teknisen tietoturvallisuuden kehittämisen työkaluja. Tekninen tietoturvallisuus on puolestaan osa kokonaistietoturvallisuutta. Teknisillä tietoturvallisuuden kehittämisen työkaluilla pyritään parantamaan käytön järjestelyillä saavutettavaa tietoturvallisuutta. Inhimilliset tekijät, toimintatavat ja käytännön toimintaprosessit ovat keskeisiä tekijöitä salauskäytäntöjen tehokkuudessa. Esimerkiksi käyttöliittymien ja koko järjestelmän käyttäjäkeskeinen suunnittelu voidaan katsoa tärkeämmäksi tekijäksi salauskäytäntöjen toteuttamisessa kuin tietty salausteknologiavalinta tai salausavaimen pituus. Salauskäytäntöjen kehittäminen ja valinta tulisi perustua riskianalyysiin ja sen tulisi olla osa jatkuvaa tietoturvallisuuden kehittämisprosessia. Valtionhallinnon tietoturvallisuuden kehittämisprosessi on kuvattu VAHTIn ohjeessa 1/2001: Valtion viranomaisen tietoturvallisuustyön yleisohje. Yritysmaailmassa käytetään usein British Standard 7799 (BS 7799, ISO 17799) mukaista tietoturvallisuusjärjestelmän sertifiointia. Salaukseen perustuvaa tietoturvallisuuden teknistä kehittämistä käytetään vielä pääasiassa korkeammilla tietoturvallisuuden tasoilla. Tämän lähtökohdan tulisi asettaa korkeat laatuvaatimukset käytettävien salausmenetelmien ja niiden avainten hallinnan tasolle (katso myös tämän raportin kohdat 4.3, ja 4.5.2). Organisaatio- ja sovellusympäristökohtaisesti joudutaan lisäksi arvioimaan, miten todetaan ja otetaan huomioon sovellusympäristön, teknisen hallinnoinnin ja muut mahdolliset vaikutukset kokonaisturvallisuuteen. Erityistä huomiota tulee lisäksi kiinnittää käytön helppouteen. Salaukseen perustuvien turvaratkaisujen tulisi olla loppukäyttäjälle helppokäyttöisyyden lisäksi mahdollisimman läpinäkyviä ja ohittamattomia. Salausmenetelmien ja niihin perustuvien laajempien teknisten tietoturvasovellusten merkitys tietoturvallisuuden kehittämisessä on lisääntymässä nopeasti. Useissa sovelluksissa 4

8 salaukseen perustuvista tietoturvallisuuden teknisistä osista on tullut jo perusturvallisuuteen kuuluvia, sovelluksiin integroituja osia. Salaukseen perustuvilla tietoturvallisuuden sovelluksilla voidaan parantaa tietoturvallisuuden tasoa kaikilla osa-alueilla; luottamuksellisuus, eheys ja käytettävyys samoin kuin niiden teknisiin toteutuksiin kuuluvilla käyttöoikeuksien hallinnan ja kiistämättömyyden osaalueilla. Tietoturvallisuuden parantamisen onnistuminen salaustekniikkaa käyttäen riippuu ratkaisevasti salausmenetelmiin ja niiden käyttöön liittyvien riskien hallinnasta. Tärkeimpiä varmistumisen ja hallinnoinnin kohteita ovat käyttöön otettavien menetelmien turvallisuuden taso, käytön oikea toteuttaminen, oikean käytön ja toiminnan jatkuva valvonta sekä erityisesti turvallinen avainten hallinta. 2.2 Käytettäviksi suositeltavat algoritmit tapauskohtaisesti Salausalgoritmeina ja tiivistefunktioina suositellaan käytettäväksi ensisijaisesti julkistettuja ja kansainvälisen tiedeyhteisön tutkimia, vahvoja algoritmeja ja tiivistefunktioita. Lisäksi voidaan käyttää erikseen tutkittuja ja vahvoiksi todettuja, ei-julkistettuja algoritmeja. Julkistettuja algoritmeja ja funktioita tulee käyttää ainakin useamman organisaation käyttämissä avoimen ympäristön sovelluksissa. Ei-julkistettujen algoritmien käyttö on mahdollista yleensä vain ennalta määriteltyjen käyttäjien suljetuissa ympäristöissä. Kaupallisten tuotteiden osalta on vaikea varmistua siitä, että ohjelmistossa todella käytetään sovittua algoritmia. Lähdekoodihan ei yleensä ole käytettävissä. Eräs mahdollisuus on, että kaupallisen tuotteen valmistaja hankkisi ja julkistaisi tuotteelle myös sen sisältämien algoritmien implementointia koskevan todistuksen eli sertifikaatin 3. osapuolelta. Algoritmeja valittaessa olisi otettava huomioon synkronointitarpeet jo eri alueilla käytössä oleviin suojauskäytäntöihin muun muassa EU-/EKP -yhteyksissä, samoin tulisi arvioida valtionhallinnossa laajalti suunniteltavien sähköisten palvelujen tarpeet erilaisen mobiilitekniikan kehityksenkin valossa. Kaupallisissa tuotteissa yleensä esiintyvistä algoritmeista sekä funktioista ovat tällä hetkellä (12/2000) suositeltavia ja hyväksyttäviä seuraavassa luettelossa mainitut. Hankittaviksi valittavista tuotteista tulee löytyä vähintään yksi luettelossa kyseessä olevaan käyttötarkoitukseen mainituista vaihtoehdoista. Mikäli tuotteessa on vain yksi hyväksytty algoritmi tai funktio, sitä on käytettävä. Kaupallisten tuotteiden lisäksi ilmaisia Linux-kehitysyhteisön tuottamia salaustuotteita. Symmetrisessä lohkosalauksessa vähintään 128 bittistä avainta käyttävät julkistetut algoritmit: AES, Blowfish, (3DES?) 1, IDEA, RC5 ja Twofish. Näiden algoritmien tärkeimpiä käyttökohteita ovat luottamuksellisuuden turvaaminen pakettimuotoisessa tietoliikenteessä sekä salassa pidettävien tietoaineistojen tallennuk- 1 3DES:n vahvuudesta on asiantuntijoiden keskuudessa runsaasti eriäviä mielipiteitä. Arviot "raa'an voiman hyökkäykseen" tarvittavien kokeilujen määrästä vaihtelevat sovellusympäristöstä riippuen välillä Arvioiden painopiste on lähempänä edellä mainittua alarajaa. Tästä syystä 3DES:a ei voida pitää perusvaatimukset luotettavasti täyttävänä algoritmina. 5

9 sessa. Pakettimuotoista tietoliikennettä on esimerkiksi IP-liikenne (Internet Protokolla-). Symmetrisessä jonosalauksessa edellisten jonosalaussovellukset sekä eijulkaistut, vähintään 128 bittistä avainta käyttävät algoritmit. Näiden algoritmien tärkein käyttökohde on luottamuksellisuuden turvaaminen jonomuotoisessa tietoliikenteessä, esimerkiksi puhelin-, GSM- ja faksiliikenteet. Jonosalausta voidaan käyttää myös tallennettavien, salassa pidettävien tietoaineistojen luottamuksellisuuden turvaamiseen. Epäsymmetrisistä algoritmeista vähintään 1024 bittiseen moduuliin perustuvat, julkistetut algoritmit: Diffie-Hellman, DSA, ElGamal ja RSA. Näiden algoritmien tärkeimpiä käyttökohteita ovat vahva todentaminen ja sähköiset allekirjoitukset. Niihin perustuen voidaan toteuttaa muun muassa jäljitysketjuja ja kiistämättömyyspalveluja sekä järjestää symmetristen salausmenetelmien käytön vaatima automaattinen avainten hallinta. Tiivistefunktioista vähintään 128 bittisen tiivisteen tuottavat julkistetut funktiot: MD5 2, RIPEMD-128, RIPEMD-160, SHA-1 ja SHA-256. Tiivistefunktioiden tärkeimpiä käyttökohteita ovat tietoaineistojen eheyden turvaamismekanismit sekä vahvan todentamisen ja sähköisten allekirjoitusten protokollat. Salausta on käytettävä tiivistefunktion lisäksi jos halutaan täysin varmaa järjestelmää. 2.3 Salauskäytännöt eri käsittelyvaiheissa Tietojen luokittelu luottamuksellisuuden, eheyden ja käytettävyyden suhteen Viranomaisen tietojen luokittelu perustuu muun muassa tietosuojalakiin, julkisuuslakiin ja sen täytäntöönpanoa koskevaan asetukseen sekä Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohjeeseen, VAHTI 2/2000. Tietoturvallisuuden parantamien toiminnan asettamien vaatimusten perusteella samoin kuin salauskäytäntöjen yhdenmukaistaminen edellyttävät selkeiden luokituskäytäntöjen kehittämistä myös eheydelle ja käytettävyydelle. VAHTI:n ohjeessa 2/2000 on esitetty 2 MD5 (Message Digest Algorithm 5) is a cryptographic hash algorithm developed at RSA Laboratories. It can be used to hash an arbitrary length byte string into a 128 bit value. MD5's ancestor, MD4 has been broken, and there are some concerns about the safety of MD5 as well. For instance, "keyed MD5" (typically used for authentication by having a shared secret, and computing an authentication value by hashing first the secret (as a key), and then the data to be hashed) has been reported to be broken. It is also reported that one could build a special-purpose machine costing a few million dollars to find a plaintext matching given hash value in a few weeks. Despite these problems, MD5 is still in wide use and reasonably safe for non-cryptographic applications of hashfunctions. 6

10 yleiset periaatteet tietojen luokittelulle myös käytettävyyden ja eheyden osalta. Kunkin organisaation tulisi määritellä tarkemmat ohjeet itse. Salauksen käyttö tietoaineistojen käsittelyssä Salaukseen perustuvien tietoturvaominaisuuksien lisääminen käytössä oleviin järjestelmiin voi vaatia useissa tapauksissa huomattavia kustannuksia ja suhteellisen suurta työpanosta. Joissain tapauksissa myös tekniset mahdollisuudet voivat olla vähäiset. Näistä syistä vahvaan salaukseen perustuvia mekanismeja suositellaan käytettäväksi olemassa olevissa järjestelmissä (toimintojen analysointiin perustuen) perusturvallisuutta parempaa tietoturvallisuutta vaativissa kohteissa. Toimintoja analysoitaessa kannattaa selvittää onko mahdollista jakaa tietoaineistojen käsittely-ympäristöt erityissuojattavien ja muiden tietoaineistojen ympäristöihin. Tällaisen päätöksen teko perustuu ainakin julkisten ja erityissuojattavien tietoaineistojen ja niiden käsittelyjen suhteellisiin määriin. Julkisten aineistojen ympäristössä tietoturvallisuus voidaan usein toteuttaa perusturvallisuuteen kuuluvilla ratkaisuilla ilman salaustekniikkaa. Erityissuojattavien aineistojen ympäristössä vahvaa salausta suositellaan käytettäväksi kaikkiin seuraavissa luvuissa eri käsittelyvaiheissa mainittuihin tarkoituksiin. Erityissuojattavaa aineistoa ovat turvaluokkiin III - I kuuluvat ja muut salassa pidettävät aineistot sekä eheyden ja käytettävyyden osalta erityissuojattavat tietoaineistot. Käyttöjärjestelmiin ja sovelluksiin integroitujen, riittävän vahvojen salausteknisten turvaominaisuuksien käyttöön tulon myötä kannattaa siirtyä salaukseen perustuvan tietoturvallisuuden mahdollisimman laajaan käyttöön. Viranomaisten sisäinen tietoaineistojen käsittely ja säilytys Salauksen käyttökohteita viranomaisen sisäisessä tiedonkäsittelyssä voivat olla käyttäjätunnussalasana menettelyn korvaaminen laatuvarmenteisiin 3 perustuvalla henkilökäyttäjien vahvalla todentamisella sekä säilytettävien tietoaineistojen luottamuksellisuuden ja eheyden turvaaminen tiedostopohjaisesti. Tietokantaympäristöihin soveltuvia tuotteita (tietokannan salaus) ei juurikaan löydy markkinoilta tällä hetkellä. Sisäiseen tietoaineistojen käsittelyyn voidaan lisäksi lukea etäkäyttö, etätyö ja kannettavien tietokoneiden käyttö. Salauksen mahdollisia käyttökohteita niissä ovat vahva todentaminen sekä luottamuksellisuuden ja eheyden turvaaminen. Esimerkkejä mahdollisista tuotteista (esimerkkiluettelo vajavainen) on lueteltu seuraavassa: Vahvassa todentamisessa sekä digitaaliseen allekirjoitukseen perustuvassa eheyden turvaamisessa voidaan käyttää toimikorttipohjaista 4 (varmennesiru-) laatu- 3 Laatuvarmenteiden määrittely on Suomessa vielä kesken 4 Eri toimikorttien teknistä toimivuutta, käytön helppoutta ja turvallisuutta, markkinakehitystä ja tulevaisuutta yleensä on tällä hetkellä vaikea arvioida 7

11 varmenteisiin perustuvaa ratkaisua. Muitakin keinoja vahvaan todentamiseen on olemassa (esim. Kerberos). Varmenteiden osalta valtiovarainministeriön ylläpitämä mahdollisimman kattava luettelo hallinnossa käytettävistä varmenteista löytyy osoitteesta: Säilytettävien tietoaineistojen luottamuksellisuuden ja usein myös eheyden turvaamiseen voidaan käyttää tiedostojen salaukseen tarkoitettuja tuotteita, joita tarjoavat Suomessa muun muassa F-Secure, SecGo Solutions ja. Lisäksi voidaan käyttää suljetun ympäristön tuotteita, esimerkiksi Sveitsiläinen Omnisec AG. Henkilökohtaisten toimikorttien (varmennesiru) käyttö ei sovellu tähän käyttötarkoitukseen. Työasemien ja erityisesti kannettavien tietokoneiden kiintolevyjen kokonaan tai osioittain salauksessa voidaan käyttää tähän tarkoitukseen kehitettyjä tuotteita, joita tarjoavat muun muassa Protect Data, ja Omnisec Ascom Fintel Oy:n välityksellä. Etäkäytön ja etätyön sovelluksissa samoin kuin kannettavien tietokoneiden tietoturvallisuuden parantamisessa voidaan käyttää toimikorttipohjaisia (varmennesiru) laatuvarmenteisiin perustuvia ratkaisuja, VPN- ja muita IP-Sec tuotteita, kiintolevyjen salaustuotteita sekä suljettuihin käyttäjäympäristöihin tarkoitettuja erillistuotteita. Tällaisia tuotteita tarjoavat muun muassa F-Secure, Nokia, Protect Data, Sec- Go Solutions ja sekä suljettuihin ympäristöihin Omnisec AG. Tässä yhteydessä tulisi erityisesti käyttää sellaisia VPN-tuotteita, joihin olennaisesti liittyy käyttäjän vahva tunnistaminen. Esimerkiksi Novotrustin TrustVPN-tuote poikkeaa merkittävästi muista markkinoilla olevista VPN-tuotteista juuri tämän ominaispiirteen johdosta. Salauksen käyttö edellä esitettyihin tarkoituksiin edellyttää turvallisen ja ainakin osittain käyttäjäorganisaation vastuulle tulevan salausavainten sekä käytettävien teknisten ratkaisujen edellyttämien muiden organisatoristen ja teknisten hallintajärjestelmien luomista. Viranomaisorganisaatioiden väliset yhteistoiminnat samoin kuin viranomaistoimintojen jakautuminen useamman kuin yhden organisaation vastuulle edellyttävät salausavainten ja muiden hallintajärjestelmien riittävää yhteistoimintakykyä. Erityisen suuri haaste on pitkäaikaisesti säilytettävien tietoaineistojen yhteydessä käytettyjen salausteknisten turvapalvelujen tekninen hallinnointi. Ongelma voi vaikeutua erityisesti konvertoidessa aineistoa uuteen tekniseen ympäristöön. Myös aineiston muuttuminen julkiseksi tietyn ajanjakson jälkeen tulisi ottaa huomioon turvapalveluja teknisesti hallittaessa, samoin kuin avainten hallinta. Esimerkiksi 25 vuoden arkistoinnin ajan avaimen turvallinen säilyttäminen on haastavaa. Uusien järjestelmien ja sovelluksien hankinnoissa ja kehittämisessä suositellaan hankittavaksi järjestelmiä ja sovelluksia, joihin sisältyy mahdollisimman monipuoliset, vahvaan 8

12 salaukseen perustuvat tietoturvaominaisuudet. Näitä ominaisuuksia suositellaan käytettäviksi mahdollisimman kattavasti kaikessa toiminnassa. Viranomaisten ja sovellusten välinen yhteydenpito Salauksen käyttökohteita viranomaisten välisessä yhteydenpidossa voivat olla henkilökäyttäjien ja loogisten olioiden molemminpuolinen, vahva todentaminen sekä luottamuksellisuuden ja eheyden turvaaminen koko tietojen siirtotapahtuman kattaen. Vahvan salauksen käytön erilliskohteita voivat olla lisäksi sähköposti, etäkäyttö ja etätyö sekä kannettavien tietokoneiden käyttö, joissa voidaan tarvita sekä vahvaa (molemminpuolista) todentamista että luottamuksellisuuden ja eheyden turvaamista. Sähköpostin osalta tulisi tutkia ja määritellä sen asema ja käytännöt viranomaisten välisessä yhteistoiminnassa. Salauksen käyttökohteita sähköpostin yhteydessä voivat olla luottamuksellisuuden ja eheyden turvaaminen sekä sähköiset allekirjoitukset. Käyttöön otettavien mekanismien tulee kyetä toimimaan käytössä olevien ja käyttöön otettaviksi suunniteltujen kohdesovellusten kanssa sekä soveltua myös muutoin dynaamiseen käyttöympäristöön; muun muassa kommunikoivien osapuolten turvallinen ja nopea luonti ja poistaminen tulisi olla joustavasti mahdollisia. Maksuliikenteen salaamisesta on omat suosituksensa (pankkiverkko2, PATU). Esimerkkejä mahdollisista tuotteista (esimerkkiluettelo vajavainen) on lueteltu seuraavassa: Henkilökäyttäjien vahvassa todentamisessa sekä sähköiseen allekirjoitukseen perustuvassa eheyden turvaamisessa voidaan käyttää toimikorttipohjaista (varmennesiru), laatuvarmenteisiin perustuvaa ratkaisua. Muitakin keinoja vahvaan todentamiseen on olemassa (esim. Kerberos). Loogisten olioiden vahvassa todentamisessa voidaan käyttää tiedonsiirron laitteisiin ja sovelluksiin integroituja, loogisille olioille määriteltyihin julkisen avaimen salausmenetelmän avaimiin perustuvia ( loogisten olioiden sähköinen identiteetti ) ratkaisuja. Näitä ratkaisuja ja toteutusmahdollisuuksia löytyy tällä hetkellä VPN- ja muista IPSec tuotteista, palomuurituotteista sekä suljettuihin ympäristöihin tarkoitetuista tietoliikenteen salaustuotteista, muun muassa Omnisec. Sovellustasolla tuotevalikoima on vasta kehitteillä. Loogisten olioiden todentaminen, jota käytetään nykyisin pääasiassa palvelinten varmentamiseen tulisi lähentää virtuaalimaailmassa (tällä tarkoitetaan julkista digitaalista verkkoa, käytännössä Internetiä) toteutettavia käytäntöjä fyysisen maailman vastaaviin, jotta vastuukysymykset voitaisiin hoitaa mahdollisimman selkeästi nykyisin voimassa olevien lakien ja muiden säännösten mukaisesti. Tulevaisuudessa saattavat varmennettavien olioiden tyypit olla varsin moninaisia, mutta tässä vaiheessa riittänee keskittyminen www-palvelimilla olevien palveluiden todentamiseen. Tässä yhteydessä käytetään termiä palveluvarmenne, jolla voidaan todentaa tietty palvelu, ei palvelinta. 9

13 Varmentamisen ja siis tunnistuksen tulisi keskittyä palvelun tarjoajaan, jolloin olion varmentaminen palautuu vastuuhenkilön tunnistamiseen. Eli ei ole syytä ensisijaisesti varmentaa tiettyä palvelinta vaan se taho, joka on vastuussa kyseisen palvelimen eri toiminnoista. Näin saadaan palvelun tarjonta kytkettyä nykyisiin lakeihin ja määräyksiin. Varmentamisen kohteena voi siten olla luonnollinen tai oikeushenkilö. Siirrettävien tietoaineistojen luottamuksellisuuden ja usein myös eheyden turvaamiseen voidaan käyttää VPN ja muita IPSec tuotteita sekä suljettuihin käyttäjäympäristöihin tarkoitettuja erillistuotteita. Tällaisia tuotteita tarjoavat muun muassa F-Secure, Nokia, Protect Data, SecGo Solutions ja sekä suljettuihin ympäristöihin Omnisec. Laatuvarmenteisiin perustuva (VPN-)ratkaisu on TrustVPN. Sähköpostin luottamuksellisuuden ja sähköiseen allekirjoitukseen perustuvaan eheyden turvaamiseen voidaan käyttää S/MIME standardiin perustuvia sähköposti- ja muita tuotteita, joiden olisi edullista tukea toimikorttien (varmennesiru) käyttöä vahvassa todentamisessa. Tuotteista tulisi löytyä myös LDAP hakemistojen käyttötuki. Tuote-esimerkkejä ovat Lotus Notesin sähköposti, Netscape Communicator, Outlook/Exchange sekä Team Waren Tiimiposti. Niissä on kuitenkin suuria eroja toimikorttitukeen (varmennesiru) ja LDAP hakemistojen tukeen liittyen. (Novotrustin henkilövarmenteessa on sähköpostiosoite ja näin ollen se toimii yhdessä mainittujen tuotteiden kanssa.) Työryhmät voivat lisäksi käyttää PGPpohjaisia ratkaisuja sekä suljetun ympäristön tuotteita, esimerkiksi Omnisec. Ne eivät kuitenkaan sovi laajempaan yhteydenpitoon avoimissa ympäristöissä. PGP on kaikkein avoimin mahdollinen salausjärjestelmä sähköpostille, mutta avainten jakelu on sen ongelma. Etäkäytön ja etätyön sovelluksissa samoin kuin kannettavien tietokoneiden tietoturvallisuuden parantamisessa voidaan käyttää toimikorttipohjaisia (varmennesiru) ratkaisuja; esimerkiksi HST; VPN- ja muita IPSec tuotteita, kiintolevyjen salaustuotteita sekä suljettuihin käyttäjäympäristöihin tarkoitettuja erillistuotteita. Tällaisia tuotteita tarjoavat muun muassa F-Secure, Nokia, Protect Data, SAH, SecGo Solutions ja sekä suljettuihin ympäristöihin Omnisec AG. Viranomaisten ja kansalaisten / asiakkaiden välinen yhteydenpito Vahvaan salaustekniikkaan perustuvia mekanismeja voidaan käyttää palvelujen turvallisen käyttöoikeuksien ja käytön hallinnan teknisessä toteuttamisessa. Kommunikoivat osapuolet todentavat tarvittaessa vahvasti toisensa molemminpuolisesti tietojen siirtoon ja muuhun yhteyden pitoon liittyen. Vahvan todentamisen sijasta tai lisäksi voidaan palveluun liittyvien tarpeiden perusteella käyttää sähköisiä allekirjoituksia. Palvelujen analysointiin perustuen vahvaa salausta suositellaan käytettäväksi myös siirrettävien sekä tallennettujen tietoaineistojen luottamuksellisuuden ja eheyden turvaamiseen. 10

14 Käytettävien mekanismien tulee kyetä toimimaan keskenään yhteen sekä soveltua myös muutoin dynaamiseen käyttöympäristöön. Muun muassa käyttäjien turvallinen, nopea ja joustava luonti ja poistaminen on oltava mahdollista. Henkilökäyttäjien vahvan todentamisen samoin kuin sähköisten allekirjoitusten perusteella voidaan myös toteuttaa muun muassa jäljitysketjuja, kiistämättömyys- ja notariaattipalveluja sekä järjestää symmetristen salausmenetelmien käytön vaatima automaattinen avainten hallinta. Esimerkkejä mahdollisista tuotteista on lueteltu seuraavassa: Henkilökäyttäjien vahvassa todentamisessa sekä sähköiseen allekirjoitukseen perustuvassa eheyden turvaamisessa voidaan käyttää toimikorttipohjaista (varmennesiru), laatuvarmenteisin perustuvaa ratkaisua, esimerkiksi Novotrustin varmenteet virkamieskorttivarmenne (yritys / organisaatiovarmenne) ja henkilövarmenne sekä VRK:n kansalaisvarmenteet. Muitakin keinoja vahvaan todentamiseen on olemassa. Siirrettävien tietoaineistojen luottamuksellisuuden ja usein myös eheyden turvaamiseen voidaan käyttää toimikorttipohjaista (varmennesiru) ratkaisua, esimerkiksi henkilön sähköinen todentamisen teknologiaa. Toimikorttiratkaisun (varmennesiru) sijasta tai lisäksi voidaan käyttää käyttöjärjestelmiin tai selaimiin integroituja, vahvaan salaukseen perustuvia turvaratkaisuja, tällä hetkellä esimerkiksi Windows 2000 (W2K:n turvaamisominaisuudet puutteelliset ja epästandardit) ja SSL/TLS. SSL ja SSH ovat turvattomia, jos asiakkaan ja palvelimen välisen reitin kaikkiin väliasemiin ei voi luottaa. Ohjelmallisia (selaimiin integroituja) varmenteita ei pitäisi hyväksyä vahvaan todentamiseen. Käyttäjä ei voi olla varma, ettei hänen avaimiaan ole kopioitu ja siten hänen identiteettinsä voi olla käytössä hänen tietämättään vaikka avainta ei olisi sinänsä murrettu. Toimikorttipohjaisten (varmennesiru) teknisten ratkaisujen perusinfrastruktuuri on jo käytössä Suomessa; katso myös tämän raportin taustamateriaali. Ratkaisujen saaminen laajamittaiseen käyttöön edellyttää sovellusten ja palvelujen kehittämisen lisäksi laatuvarmenteiden yleistymistä ja muiden infrastruktuurin yksityiskohtien edelleen kehittämistä uusien sovelluksien ja palvelujen sekä teknisten toteutusten edellyttämällä tavalla. 2.4 Salaustuotteiden tason ja toiminnan varmistaminen Yleistä Käytettävien salausmenetelmien ja niihin perustuvien tietoturvasovellusten tulisi olla vähintään laskennallisesti turvallisia. Tämä tarkoittaa lyhyesti määriteltynä, että menetelmää tai sovellusta ei voida ratkaista systemaattisella analyysillä käytettävissä olevin resurssein. Useimmilla organisaatioilla ei ole itsellään mahdollisuuksia arvioida onko menetelmä tai sovellus laskennallisesti turvallinen realistiseen uhka- ja riskitilanteeseen verrattuna. Syynä 11

15 tähän on yleensä riittävän asiantuntemuksen sekä tarvittavien välineiden ja menetelmien puuttuminen. Tästä syystä joudutaan yleensä käyttämään kokemusperäisesti turvallisia menetelmiä ja sovelluksia, joista pitkäaikaisissa ja monella taholla tehdyissä analyyseissä ei ole löydetty vakavia heikkouksia. Näiden nk. salausyhteisön hyväksymien menetelmien ja sovellusten osalta tulee kuitenkin muistaa, että tämä lähtökohta ei varmista turvallisuutta uusia hyökkäystyyppejä vastaan. Toinen mahdollisuus on luottaa valmistajan tai palvelujen tarjoajan sanaan. Suurena ongelmana tässä tavassa voivat olla puolueettomuus, asiantuntemus ja arviointikriteerit. Kolmas mahdollisuus on luottaa riippumattoman tahon puolueettomaan arviointiin. Useimmissa tapauksissa tämän vaihtoehdon ratkaisemattomia kysymyksiä ovat: Mikä on riippumaton ja pätevä taho? Mitkä ovat arviointikriteerit? Onko käytettävissä sertifikaatteja ja mikä on niiden merkitys (FIPS PUB 140, ITSEC/ITSEM, CC, )? Sertifikaattien osalta on aina luettava raportit eli selvitettävä, mitä ominaisuuksia tuotteesta on sertifioitu. Esimerkiksi salauskäytäntöjen yksityiskohdat eivät vielä sisälly sertifikaatteihin. Keskeinen ongelma on myös, miten huolehditaan arviointituloksen pätevyydestä kehityksen myötä, nk. jatkuvan turvallisuuden ongelma. Tuotteita valittaessa suositellaan mahdollisuuksien mukaan valittaviksi riittävällä tasolla sertifioituja tuotteita ja mieluimmin sellaisia, joiden lähdekoodi on saatavissa. Tällaisia tuotteita ei salausratkaisujen osalta ole yleisesti saatavilla. (UNIX- ja Linuxympäristöissä kulttuuriin kuuluu toimittaa lähdekoodi, myös kaupallisista tuotteista.) Nämä tuntuvat osittain etäisiltä tavoitteilta ja saatavat johtaa siihen, ettei soveltuvaa tuotetarjontaa synny lähitulevaisuudessa. Olemassa olevilla tuotteilla on mahdollista pienentää riskiä, joka liittyy tietojen luottamuksellisuuden menettämiseen. On toki hyvä nähdä uhkakuvana tuotteiden mahdolliset takaportit. On kuitenkin muistettava, että absoluuttisen turvallisuuden tilaa ei ole olemassa ja aina tulee olemaan uusia uhkakuvia, joita ei ole pystytty huomioimaan. Tuotepuutteista huolimatta viranomaisia kannustetaan suojaamaan kriittisiä tietojaan ja asiointia, nykyistä parempaan turvallisuuteen olisi mahdollisuus jo olemassa olevilla ratkaisuilla. Turvaluokkien huomioon ottaminen Ohjeet eri turvaluokkiin liittyvistä käytännön toimenpiteistä on annettu Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohjeessa, VAHTI 2/2000. Näihin ohjeisiin sisältyy tai voidaan katsoa kuuluvan seuraavat ohjeet salauksen käytöstä eri turvaluokkien yhteydessä: Turvaluokkaan III (luottamuksellinen) kuuluvat ja muut salassa pidettävät tiedot voidaan suojata hyvin eristetyssä ympäristössä pääsyoikeuksien tehokkaalla rajauksella ja turvallisella toteuttamisella. Lisäksi suositellaan näiden tietojen säilyttämis- 12

16 tä salattuina. Hyvin eristetyn ympäristön ulkopuolella tämän tason tiedot on säilytettävä riittävän vahvasti salattuina. Jaettaessa sähköisesti turvaluokkaan III kuuluvia ja muita salassa pidettäviä asiakirjoja on huolehdittava siitä, että asiakirjojen sisältämät tiedot eivät joudu asiattomien haltuun. Tämä voidaan toteuttaa muun muassa riittävän salauksen avulla. Riittävänä salauksena voidaan tässä tapauksessa pitää muun muassa salausohjelmistoa, joka on sertifioitu tai muuten yleisesti hyväksytty. Turvaluokkaan II (salainen) kuuluvat aineistot on säilytettävä työaseman kiintolevyllä, palvelinkoneella ja lisäkiintolevyillä vahvasti salattuna. Salauksessa tulee käyttää vahvoiksi todennettuja tuotteita. Ohjelmistojen osalta tämä edellyttää muun muassa lähdekoodin saatavuutta julkiseen arviointiin. Tällä hetkellä tämän vaatimuksen mukaisia ohjelmistotuotteita ei ole kaupallisesti tarjolla. UNIX- ja Linuxympäristöissä kulttuuriin kuuluu toimittaa lähdekoodi, myös kaupallisista tuotteista. Turvaluokkiin II kuuluvia aineistoja käsiteltäessä on käytettävä käyttäjien vahvaa, toimikorttipohjaista (varmennesiru) tai muuta todentamista. Todentaminen on toteutettava joko sertifioidulla tai muuten vahvaksi todennetulla salausohjelmistolla tai laitteella. Ohjelmistojen osalta vaatimus edellyttää lähdekoodin saatavuutta julkiseen arviointiin. Ainakin lähdekoodin arviointi pitää voida vaatia, mutta julkinen arviointi saattaa käytännössä olla liiallinen vaatimus. Turvaluokkaan II kuuluvien asiakirjojen sähköisessä jakelussa on käytettävä laatuvarmenteisiin perustuvaa, kommunikoivien osapuolten vahvaa ja molemminpuolista todentamista sekä siirrettävien tietojen vahvaa salausta. Käytettävien ohjelmistoja muiden tuotteiden tulee käyttää vahvoiksi todennettuja algoritmeja. Ohjelmistojen osalta tämä edellyttää muun muassa lähdekoodin saatavuutta julkiseen arviointiin. Tällä hetkellä tämän vaatimuksen mukaisia ohjelmistotuotteita ei ole kaupallisesti tarjolla. UNIX- ja Linux-ympäristöissä kulttuuriin kuuluu toimittaa lähdekoodi, myös kaupallisista tuotteista. Turvaluokkaan I (erittäin salainen) kuuluvia asiakirjoja ei saa siirtää sähköisesti (määritelty tarkemmin Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohjeessa ). Tähän turvaluokkaan kuuluvia aineistoja käsiteltäessä on käytettävä käyttäjien vahvaa, toimikorttipohjaista (varmennesiru) tai muuta todentamista. Turvaluokan I aineistot on aina säilytettävä vahvasti salattuina. Vahvassa todentamisessa ja salauksessa on käytettävä joko sertifioituja tai muuten vahvoiksi todennettuja salausohjelmistoja tai laitteita. Ohjelmistojen osalta vaatimus edellyttää lähdekoodin saatavuutta julkiseen arviointiin. 13

17 Koska nykyiset salausohjelmistot eivät täytä II- ja I- turvaluokiteltujen tietojen osalta asetettuja vaatimuksia, näihin luokkiin kuuluvien asiakirjojen käsittely on rajoitettava tehtäväksi erityisesti tätä tarkoitusta varten muusta ympäristöstä eristetyillä laitteilla. Yksittäisillä organisaatioilla on valtionhallinnossa käytössä räätälöityjä ratkaisuja, jotka täyttävät asetetut vaatimukset turvaluokan II osalta. Joissakin organisaatioissa on otettu lisäksi käyttöön 'viranomaiskäyttö' -luokitus, mikä on alin salassa pidettävä luokka. Julkiseen luokkaan kuuluvista ei anneta erityistä suositusta, kuitenkin esimerkiksi eheysvaatimukset koskevat myös julkista aineistoa. 2.5 Sähköinen tunnistus, todentaminen ja allekirjoitus Käyttäjän (tai yleisemmin osapuolen, koska koskee myös palveluja ja palvelimia) vahva todentaminen on kaikkiin PKI-sovelluksiin liittyvä perustoiminto. Vahvassa todentamisessa käytettävä tekniikka on myös sähköisten allekirjoitusten keskeinen perusta. Termejä tunnistaminen ja todentaminen käytetään yleisesti jokseenkin vapaasti ristiin, mutta lienee helpompaa mieltää niiden ero, jos ajatellaan että: Käyttäjä tunnistetaan, käyttäjätunnuksen, pankkitilin numeron tai vaikka henkilötunnuksen avulla. Käyttäjä todennetaan salasanan, kertakäyttösalasanan tai PKI:n mukaisen avainparin avulla. Lähtökohtana käyttäjien luotettavassa todentamisessa voidaan Suomessa pitää toimikorttipohjaista (varmennesiru) todentamista. Tämä ei ole itsestäänselvyys kaikkialla esimerkiksi USA:ssa toimikorttien (varmennesiru) käyttö on vielä vähäistä. Tämä heijastuu suoraan siihen, että monista Yhdysvalloista peräisin olevista PKI -tuotteista puuttuu toimikorttien (varmennesiru) tuki tai se on puutteellinen. Tästä aiheutuu toistaiseksi lisävaivaa toimivien PKI -ympäristöjen rakentamisessa. Koska suuntaus maailmassa näyttää kuitenkin olevan selvästi kohti toimikorttien (varmennesiru) laajenevaa käyttöä, ja koska toimikorttien (varmennesiru) käytöllä päästään todella turvalliseen ratkaisuun, niitä kannattaa käyttää alusta alkaen. Todentamiseen perustuvia muita sovelluksia ovat muun muassa jäljitysketjut ja kiistämättömyys sekä tekijänoikeudet luotetun tekijänoikeusviranomaisen avulla. Salaukseen perustuvan vahvan todentamisen edellytyksiä ovat joko symmetristen menetelmien käyttö tarvittaessa luotetun avainten hallintakeskuksen (TTP, käsitteeseen liittyy paljon muitakin ominaisuuksia ja funktioita) avulla tai yleisimmin julkisen avaimen menetelmien käyttö. Julkisen avaimen menetelmien käyttöä varten tarvitaan hakemistopalvelu, Directory Service sekä varmennepalvelu, CA ja mahdollisesti muita luotettuja kolmansia osapuolia, TTP. 14

18 Luotettavan todentamisen edellytyksenä on PKI niin kuin edellä on todettu. Vahvoissa varmenteissa, (EU-direktiivissä 1999/93/EY ja valmisteilla olevassa laissa sähköisistä allekirjoituksista, laatuvarmenne) on kaksi tärkeätä erityispiirrettä. 1. Varmenteen toimittamisen yhteydessä tehdään ns. vahva tunnistus ja 2. toisaalta varmenteen ns. yksityinen (henkilökohtainen) avain sijoitetaan ainutkertaisesti tietojärjestelmästä fyysisesti irrotettavalle osalle, joka toisaalta on ainoa ympäristö, jossa avainta käytetään (siru, jolla on avain ja sitä käyttävä prosessori). Tämä osa on siru, joka saatetaan liittää toimikorttiin (varmennesiru). Fyysinen irrotettavuus takaa sen, ettei avainta voida saada käyttöön ilman, että se murrettaisiin. Ohjelmalliset avaimet voivat joutua vääriin käsiin ilman, että niitä tarvitsee murtaa. Fyysisesti irrotettava osa on käyttäjän hallussa ja jos hän sen tavalla tai toisella kadottaa, voidaan varmenne välittömästi revokoida eli ilmoittaa sulkulistalle. Käyttäjäkeskeisyyden kannalta on fyysinen token myös ohjelmallisia salasanoihin ja tunnuksiin tukeutuvaa järjestelmää kehittyneempi. Toimikorttia kattavampi käsite on varmennesiru. Ns. ohjelmallisia avaimia (software keys) ei hyväksytä lainkaan vahvaan varmennukseen. 2.6 Tiedonsiirron ja tietojen salauspolitiikka Suomen hallitus on ottanut huomioon OECD:n tiedonsiirron salauspolitiikan yleislinjaukset pitämässään iltakoulussa käsitellyssä valtioneuvoston "Salauspolitiikassa noudatettavat periaatteet" -linjauksessa. Suomen julkishallinnon noudattamat periaatteet on lueteltu tämän raportin taustamateriaalin liitteessä 2: Lähtökohtien kuvaaminen. 2.7 Jatkotoimenpidesuositukset Tämän selvityksen tuloksena ei markkinoilta löytynyt kaupallisia salaustuotteita, jotka perustuisivat avoimeen, arvioitavissa olevaan koodiin tai olisivat asianmukaisesti riittävälle tasolle sertifioituja. Tämän vuoksi markkinoilla oleviin tuotteisiin ei voida kaikissa tapauksissa riittävästi luottaa. Työryhmä ehdottaa, että nyt tehty selvitys tulisi toistaa aika ajoin uusien vaihtoehtojen kartoittamiseksi. Tuotetaulukon mukaan ottamisessa osaksi suositusta on otettu tietoinen riski, sillä toimittajat tuovat markkinoille uusia tuotteita ja tuoteversioita. Suosituksen ylläpitäminen tältä osin voi muodostua kohtuuttomaksi. Toisaalta koostetieto tuotteista on varmasti hyödyllistä. Valtionhallinnon yksiköiden salausteknologioiden tietämyksen ylläpitämiseksi ja kehittämiseksi työryhmä ehdottaa perustettavaksi verkoston, joka muodostuu valtionhallinnon yksiköissä työskentelevistä, salauskäytännöistä yksiköissään vastaavista henkilöistä. Verkoston tehtävänä olisi kerätä ajantasaista tietoa salauskäytännöistä ja sovelluksista ja levittää tietämystä kaikkiin valtionhallinnon yksiköihin. Työryhmän saamissa lausunnoissa on kaivattu yhtenäistä ratkaisua valtionhallinnon salaustuotteeksi. Koska tässä selvityksessä tehdyn tuotekatsauksen perusteella ei pystytty nimeään yksittäistä tuotetta, työryhmä ehdottaa tarjouspyyntökierroksen järjestämistä salaustuotteista. Tuotteiden arvioinnin jälkeen näistä voitaisiin valita yksi tai useampia tuot- 15

19 teita, joita suositeltaisiin käytettäviksi valtion yksiköissä ja joista voitaisiin tehdä puitesopimukset toimittajien kanssa. Salaustuotteita hankittaessa tulee varmistaa, että hankittavat tuotteet ovat luotettavia ja turvallisiksi todettuja. Etusija annetaan ITSEC- ja Common Criteria -sertifioiduille tuotteille. ITSEC-tai Common Criteria -sertifiointi ei itsessään aina ole riittävä kriteeri tuotteen valintaan. CC:n Protection Profile pitää olla tarkoitukseen soveltuva ja toteuttaa vaadittavan arvointitason (EAL). CC:n tuoreuden vuoksi esimerkiksi EAL-vaatimuksen määrittely on tapahduttava kohdekohtaisesti, eikä suinkaan yleistäen. Tuotteiden sertifionti on tuotteen valmistajan tehtävä. Valmistajat ovat motivoituneita sertifioimaan tuotteita vasta, kun sertifioduille tuotteille on kysyntää. Valtion yksiköt voivat edistää sertifiointitoimintaa vaatimalla tarjouspyynnöissään tuotteilta tietoturvallisuuden sertifiointia. 16

20 3 LÄHTÖKOHTIEN KUVAAMINEN 3.1 Lähtökohdat on kuvattu erillisessä taustamateriaalissa 1 Terminologiaa 2 Lähtökohtien kuvaaminen 3 Valtion Internetin käyttö- ja tietoturvallisuussuositus 4 Henkilön sähköinen tunnistaminen 5 Haastattelujen tulosten yhteenveto 6 EU:n sähköisen allekirjoituksen direktiivin tulkinta sekä laatu- ja roolivarmenteet. 7 Verkkojen tietoturva ja älykortit sekä viranomaiset verkossa 8 ITSEC ja CC sertifiointien kriteeristöjen lyhyt esittely 9 Tärkeimpiä standardointiorganisaatioita ja kohteita 17

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

myynti-insinööri Miikka Lintusaari Instrumentointi Oy TERVEYDENHUOLLON 25. ATK-PÄIVÄT Kuopio, Hotelli Scandic 31.5-1.6.1999 myynti-insinööri Miikka Lintusaari Instrumentointi Oy Uudet tietoturvaratkaisut SUOMEN KUNTALIITTO Sairaalapalvelut Uudet tietoturvaratkaisut

Lisätiedot

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com SecGo Sähköinen allekirjoitus ja sen käyttö Ari-Pekka Paananen, SecGo VE Oy Director,technology ari-pekka.paananen@secgo.com Turvallinen Sähköinen Tiedonkulku Tunnistetut käyttäjät tietojärjestelmiin Pääsyoikeudet

Lisätiedot

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu JHS 147 Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu Julkaistu: 28.11.2000 Voimassaoloaika: Toistaiseksi Sisältö 1 TAUSTAA 1.1 Suosituksen tarkoitus 1.2 Asiakirjojen ja tietojen luokittelu

Lisätiedot

SALAUSMENETELMÄT. Osa 2. Etätehtävät

SALAUSMENETELMÄT. Osa 2. Etätehtävät SALAUSMENETELMÄT Osa 2 Etätehtävät A. Kysymyksiä, jotka perustuvat luentomateriaaliin 1. Määrittele, mitä tarkoitetaan tiedon eheydellä tieoturvan yhteydessä. 2. Määrittele, mitä tarkoittaa kiistämättömyys

Lisätiedot

Tutkimus web-palveluista (1996) http://www.trouble.org/survey/

Tutkimus web-palveluista (1996) http://www.trouble.org/survey/ Tietoturva Internet kaupankäynnissä E-Commerce for Extended Enterprise 29.4.98 Jari Pirhonen (Jari.Pirhonen@atbusiness.com) AtBusiness Communications Oy http://www.atbusiness.com Tutkimus web-palveluista

Lisätiedot

Tietoturva 811168P 5 op

Tietoturva 811168P 5 op 811168P 5 op 6. Oulun yliopisto Tietojenkäsittelytieteiden laitos Mitä se on? on viestin alkuperän luotettavaa todentamista; ja eheyden tarkastamista. Viestin eheydellä tarkoitetaan sitä, että se ei ole

Lisätiedot

Salaustekniikat. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010

Salaustekniikat. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 Salaustekniikat Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 Luennon sisältö 1. Tietoturvan tavoitteet 2. Kryptografia 3. Salattu webbiyhteys 2 Tietoturvan tavoitteet Tietoturvatavoitteita:

Lisätiedot

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 11. Luento Tietotekninen turvallisuus

Lisätiedot

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot Ohje 1 (5) Dnro: 11.11.2015 190/651/2015 Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot 1 Johdanto Tässä dokumentissa kuvataan ne kryptografiset vähimmäisvaatimukset,

Lisätiedot

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa? Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa? 2012-2013 Lasse Lensu 2 Ongelma 2: Miten tietoa voidaan (uudelleen)koodata tehokkaasti? 2012-2013 Lasse Lensu

Lisätiedot

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Tietoturvan perusteet - Syksy 2005 SSH salattu yhteys & autentikointi Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Yleistä SSH-1 vuonna 1995 (by. Tatu Ylönen) Korvaa suojaamattomat yhteydentottotavat

Lisätiedot

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure Kuinka moneen tietovuotoon teidän yrityksellänne on varaa? Palomuurit ja VPN ratkaisut suojelevat yritystä ulkopuolisia uhkia vastaan,

Lisätiedot

Sähköinen asiointi hallinnossa ja HST-järjestelmä. Joensuun yliopisto Tietojenkäsittelytieteen laitos Laudaturseminaari Tapani Reijonen 21.3.

Sähköinen asiointi hallinnossa ja HST-järjestelmä. Joensuun yliopisto Tietojenkäsittelytieteen laitos Laudaturseminaari Tapani Reijonen 21.3. Sähköinen asiointi hallinnossa ja HST-järjestelmä Joensuun yliopisto Tietojenkäsittelytieteen laitos Laudaturseminaari Tapani Reijonen 21.3.2001 SISÄLLYSLUETTELO 1. JOHDANTO 2. VAADITTAVAT OMINAISUUDET

Lisätiedot

Laatua ja tehoa toimintaan

Laatua ja tehoa toimintaan Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät

Lisätiedot

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services Järjestelmäarkkitehtuuri (TK081702) Standardoidutu tapa integroida sovelluksia Internetin kautta avointen protokollien ja rajapintojen avulla. tekniikka mahdollista ITjärjestelmien liittämiseen yrityskumppaneiden

Lisätiedot

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston

Lisätiedot

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö Ulkoistamisen hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö Muutos ja tietoturvallisuus -ohje Korvaa Vahti-ohjeen 2/1999 ja laajentaa sen tarkastelunäkökulmaa Työryhmänä jaosto, konsulttina WM-data

Lisätiedot

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17 Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on

Lisätiedot

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP

Lisätiedot

Kymenlaakson Kyläportaali

Kymenlaakson Kyläportaali Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta

Lisätiedot

Varmaa ja vaivatonta

Varmaa ja vaivatonta Varmaa ja vaivatonta viestintää kaikille Suomessa Tekninen valvonta sähköisissä palveluissa Päällikkö Jarkko Saarimäki Tähän joku aloituskuva, esim. ilmapallopoika jarkko.saarimaki@ficora.fi Ennakkokysymys

Lisätiedot

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa neuvotteleva virkamies Mikael Kiviniemi VAHTIn pj, DI Hallinnon kehittämisosasto Valtiovarainministeriön tehtäviä Hallinnon rakenteiden ja ohjausjärjestelmien

Lisätiedot

Ohje arviointikriteeristöjen tulkinnasta

Ohje arviointikriteeristöjen tulkinnasta Ohje 1 (6) 28.10.2015 Ohje arviointikriteeristöjen tulkinnasta Kansalliset arvioinnit 1 Arviointikriteeristöt Lain viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista

Lisätiedot

T-79.4501 Cryptography and Data Security

T-79.4501 Cryptography and Data Security T-79.4501 Cryptography and Data Security Lecture 11 Bluetooth Security Bluetooth turvallisuus Uhkakuvat Bluetooth turvallisuuden tavoitteet Linkkitason turvamekanismit Pairing menettely Autentikointi ja

Lisätiedot

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Liite 2 : RAFAELA -aineiston elinkaaren hallinta RAFAELA-hoitoisuusluokitus-jär je 1 Liite 2 : RAFAELA -aineiston elinkaaren hallinta Ohje: Lomake täytetään Tilaajan toimesta ja palautetaan Toimittajalle käyttöoikeussopimuksen mukana. 1. Aineiston omistajuus

Lisätiedot

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

-kokemuksia ja näkemyksiä

-kokemuksia ja näkemyksiä Varmenne ja PKI-toteutuksen suuntaviivat huomioitavat tekijät -riskit-hyödyt -kokemuksia ja näkemyksiä Risto Laakkonen, HUS Tietohallinto 1 Varmenne ja PKI-toteutuksen suuntaviivat Sisältö lainsäädännön

Lisätiedot

Kansallinen sähköinen potilasarkisto Varmenteiden käyttö

Kansallinen sähköinen potilasarkisto Varmenteiden käyttö Kansallinen sähköinen potilasarkisto Varmenteiden käyttö Teemupekka Virtanen Erityisasiantuntija teemupekka.virtanen@stm.fi A1 05/2005/tao/paht Keskitetty arkisto Keskitetty sähköinen arkisto Potilastietojen

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Salaustekniikat. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010

Salaustekniikat. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 Salaustekniikat Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 1. Kryptografia Luennon sisältö 2. Salattu webbiyhteys 2 KRYPTOGRAFIA 3 Symmetrinen salakirjoitus Selväkielinen sanoma M Avain

Lisätiedot

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle Ohje 1 (6) Käyttöönottosuunnitelma -kotiorganisaatiolle Ohje 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen

Lisätiedot

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement) TeliaSonera CA Asiakkaan vastuut v. 2.0 TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement) Luottavan osapuolen velvollisuudet Varmenteen hakijan ja haltijan velvollisuudet Rekisteröijän

Lisätiedot

Aineistosiirron testauksen aloituksen ohje Trafin sopimuskumppaneille

Aineistosiirron testauksen aloituksen ohje Trafin sopimuskumppaneille TraFin ulkoinen integraatio Aineistosiirron testauksen aloituksen ohje Trafin sopimuskumppaneille Ohje 26.2.2014 Versio 1.1, Hyväksytty Luottamuksellinen Vastuutaho Trafi MUUTOSHISTORIA Versio Päiväys

Lisätiedot

Sähköinen allekirjoitus ja henkilön tunnistaminen matkapuhelimella. Terveydenhuollon ATK-päivät 30.5.2005

Sähköinen allekirjoitus ja henkilön tunnistaminen matkapuhelimella. Terveydenhuollon ATK-päivät 30.5.2005 Sähköinen allekirjoitus ja henkilön tunnistaminen matkapuhelimella Terveydenhuollon ATK-päivät 30.5.2005 24.03.2013 Mobiilivarmenteet asioinnissa ja työskentelyssä Sähköinen asiointi, itsepalvelu ja kaupankäynti

Lisätiedot

Kriittisen tietoliikenteen suojaukseen

Kriittisen tietoliikenteen suojaukseen Kriittisen tietoliikenteen suojaukseen Kotimainen STIII-hyväksytty -ratkaisu Salausratkaisu korkean turvatason organisaatioille Joustava ratkaisu erilaisiin käyttökohteisiin Insta on -salausratkaisu (Virtual

Lisätiedot

Julkinen sanomarajapinta. 4.9. ja 11.9.2009

Julkinen sanomarajapinta. 4.9. ja 11.9.2009 4.9. ja 11.9.2009 1 Asiakkaiden nykyiset sanomaliikenneyhteydet Tulliin Nykytilassa sanomaliikenneyhteydet Tullin asiakkaiden tietojärjestelmistä Tullin sovelluksiin välillä hoidetaan operaattoreiden kautta,

Lisätiedot

Tietoverkon käyttäjän tietoturvan parantaminen salausmenetelmiä käyttäen

Tietoverkon käyttäjän tietoturvan parantaminen salausmenetelmiä käyttäen Tuomas Kirstilä Tietoverkon käyttäjän tietoturvan parantaminen salausmenetelmiä käyttäen Metropolia Ammattikorkeakoulu Insinööri (AMK) Koulutusohjelman nimi Insinöörityö 2.5.2013 Tiivistelmä Tekijä(t)

Lisätiedot

DNSSec. Turvallisen internetin puolesta

DNSSec. Turvallisen internetin puolesta DNSSec Turvallisen internetin puolesta Mikä on DNSSec? 2 DNSSec on nimipalvelujärjestelmän (DNS) laajennos, jolla varmistetaan nimipalvelimelta saatavien tietojen alkuperä ja eheys. Teknisillä toimenpiteillä

Lisätiedot

Verkkopalkan palvelukuvaus

Verkkopalkan palvelukuvaus 27.1.2012 1 (6) Verkkopalkan palvelukuvaus 27.1.2012 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Verkkopalkka-palvelun toiminta palkanmaksajalle... 3 3 Verkkopalkan käyttöönotto... 4 4 Verkkopalkka-palvelun

Lisätiedot

Valtionhallinnon salauskäytäntöjen tietoturvaohje

Valtionhallinnon salauskäytäntöjen tietoturvaohje VALTIOVARAINMINISTERIÖ JulkICT-toiminto LAUSUNTOVERSIO 21.4.2015 Valtionhallinnon salauskäytäntöjen tietoturvaohje Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä LUONNOS x/2015 JulkICT-toiminto

Lisätiedot

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari 2012. Jaakko Lindgren

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari 2012. Jaakko Lindgren Hostingpalvelujen oikeudelliset kysymykset Viestintäviraston Abuse-seminaari 2012 Jaakko Lindgren Legal Counsel Tieto, Legal jaakko.lindgren@tieto.com Esittely Jaakko Lindgren Legal Counsel, Tieto Oyj

Lisätiedot

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n turvaama HTTP. TLS:n suojaama sähköposti Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP

Lisätiedot

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella Terveydenhuollon atk-päivät 19-20.5.2008, Redicom Oy jukka.koskinen@redicom.fi Käyttäjähallinta (IDM) Salasanahallinta

Lisätiedot

TIETOTURVA- POLITIIKKA

TIETOTURVA- POLITIIKKA TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...

Lisätiedot

5. SALAUS. Salakirjoituksen historiaa

5. SALAUS. Salakirjoituksen historiaa 1 5. SALAUS Salakirjoituksen historiaa Egyptiläiset hautakirjoitukset n. 2000 EKr Mesopotamian nuolenpääkirjoitukset n. 1500 EKr Kryptografia syntyi Arabiassa 600-luvulla lbn ad-durahaim ja Qualqashandi,

Lisätiedot

Luento 11: Tiedonsiirron turvallisuus: kryptografiaa ja salausavaimia. Syksy 2014, Tiina Niklander

Luento 11: Tiedonsiirron turvallisuus: kryptografiaa ja salausavaimia. Syksy 2014, Tiina Niklander Tietoliikenteen perusteet Luento 11: Tiedonsiirron turvallisuus: kryptografiaa ja salausavaimia Syksy 2014, Tiina Niklander Kurose&Ross: Ch 8 Pääasiallisesti kuvien J.F Kurose and K.W. Ross, All Rights

Lisätiedot

Valtionhallinnon lausuntoprosessin kehittäminen ja digitaalinen tietojen hallinta Digitaaliseen tietojen hallintaan Sotu seminaari 29.11.

Valtionhallinnon lausuntoprosessin kehittäminen ja digitaalinen tietojen hallinta Digitaaliseen tietojen hallintaan Sotu seminaari 29.11. Valtionhallinnon lausuntoprosessin kehittäminen ja digitaalinen tietojen hallinta Digitaaliseen tietojen hallintaan Sotu seminaari 29.11.2013 Markku Nenonen Tutkijayliopettaja Mamk Lähtökohdat ja tausta

Lisätiedot

PKI- ja hakemistotarpeet pacsissa

PKI- ja hakemistotarpeet pacsissa PKI- ja hakemistotarpeet pacsissa keskitetty käyttäjähallinta käyttäjän vahva tunnistaminen 1. klusterissa 2. klusterin ulkopuolella kliinikot: vanhat web-serverit, kliinikkotyöasemat tutkijat 3. etäkäytössä

Lisätiedot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden

Lisätiedot

11.10.2013 Tekijän nimi

11.10.2013 Tekijän nimi 11.10.2013 Tekijän nimi Arkkitehtuuri kehittämisen välineenä Kokonaisarkkitehtuuri hallitun muutoksen avaimena Etelä-Savon maakuntaliitto 10.10.2013 Markku Nenonen Tutkijayliopettaja Mikkelin ammattikorkeakoulu

Lisätiedot

Hans Aalto/Neste Jacobs Oy

Hans Aalto/Neste Jacobs Oy 1 2 Automaation kehitystrendit - haasteita tietoturvallisuudelle Hans Aalto, Neste Jacobs Oy Osastonjohtaja/Automaatiosuunnittelu Suomen Automaatioseura, hallituksen puheenjohtaja 1.1.2005 alk. Neste Jacobs

Lisätiedot

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee

Lisätiedot

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen Enigmail-opas Enigmail on Mozilla Thunderbird ja Mozilla Seamonkey -ohjelmille tehty liitännäinen GPG-salausohjelmiston käyttöä varten. Sitä käytetään etenkin Thunderbirdin kanssa sähköpostin salaamiseen

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 9. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa

Lisätiedot

Tiedostojen jakaminen turvallisesti

Tiedostojen jakaminen turvallisesti Tiedostojen jakaminen turvallisesti Taustaa Tiedostojen jakaminen sähköisesti (File Sharing) on ollut joissakin organisaatioissa ongelmallista hallita. Jaettaviksi halutut viestit ovat liitetiedostoineen

Lisätiedot

NCSA-FI:n hyväksymät salausratkaisut

NCSA-FI:n hyväksymät salausratkaisut 1 (13) 20.12.2013 NCSA-FI:n hyväksymät salausratkaisut NCSA-FI:n kansainvälisiin tietoturvavelvoitteisiin liittyviin tehtäviin kuuluu salaustuotteiden hyväksyntä kansainvälisen turvallisuusluokitellun

Lisätiedot

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti

Lisätiedot

Tietoliikenteen salaaminen Java-sovelluksen ja tietokannan välillä

Tietoliikenteen salaaminen Java-sovelluksen ja tietokannan välillä Tietoliikenteen salaaminen Java-sovelluksen ja tietokannan välillä Miika Päivinen 13.12.2005 Joensuun yliopisto Tietojenkäsittelytiede Pro gradu -tutkielma TIIVISTELMÄ Sähköisen kanssakäymisen määrän lisääntyessä

Lisätiedot

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Sisällys Valtiontalouden tarkastusviraston tietoturvapolitiikka... 2 1 Johdanto... 3 2 Vastuut... 3 2.1 Tarkastusviraston

Lisätiedot

Sähköposti ja tekstiviesti tietoturvatontako? Yrjö Koivusalo tietohallintapäällikkö V-SSHP

Sähköposti ja tekstiviesti tietoturvatontako? Yrjö Koivusalo tietohallintapäällikkö V-SSHP Sähköposti ja tekstiviesti tietoturvatontako? Yrjö Koivusalo tietohallintapäällikkö V-SSHP Esityksen sisältö Esimerkkejä hyötykäytöstä Miksi tämä on ajankohtaista? Säännöksiä ja suosituksia Pohdintaa Kaiser

Lisätiedot

- Jarjestelmaasiantuntija Markku Jaatinen

- Jarjestelmaasiantuntija Markku Jaatinen SUOMEN KUNTALIITTO Sairaalapalvelut Terveydenhuollon ATK-päivät 26. - 27.5.1 997 Lahti, Kauppahotelli Grand - Jarjestelmaasiantuntija Markku Jaatinen Telecom Finland Tietojenhallinta Intranetin ja Internetin

Lisätiedot

T-110.5690 Yritysturvallisuuden seminaari

T-110.5690 Yritysturvallisuuden seminaari T-110.5690 Yritysturvallisuuden seminaari 16.11.2005 2. esitys Mikko Hopeakivi Ross Anderson: Security Engineering Security Engineering: A Guide to Building Dependable Distributed Systems Ross Anderson

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 10. Luento Tietotekninen turvallisuus

Lisätiedot

Sähköinen allekirjoitus

Sähköinen allekirjoitus Sähköinen allekirjoitus Pekka Kuosmanen 18.1.2008 Esityksen aiheet Sähköinen allekirjoitus Lainsäädäntö ja standardit Käytännön kokemukset Sähköinen allekirjoitus minkä vuoksi Sähköisen asiakirjan tai

Lisätiedot

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP

Lisätiedot

HELPPOUDEN VOIMA. Business Suite

HELPPOUDEN VOIMA. Business Suite HELPPOUDEN VOIMA Business Suite UHKA ON TODELLINEN Online-uhkat ovat todellinen yrityksiä haittaava ongelma yrityksen toimialasta riippumatta. Jos sinulla on tietoja tai rahaa, voit joutua kohteeksi. Tietoturvatapausten

Lisätiedot

TIETOTURVAA TOTEUTTAMASSA

TIETOTURVAA TOTEUTTAMASSA TIETOTURVAA TOTEUTTAMASSA Ari Andreasson Juha Koivisto TIETOTURVAA TOTEUTTAMASSA TIETOSANOMA Tekijät ja Tietosanoma Oy ISBN 978-951-885-334-6 KL 61.7 Tietosanoma Oy Bulevardi 19 C 00120 Helsinki 09 694

Lisätiedot

Sähköisten palveluiden tietoturva Maksufoorumi, Suomen Pankki 29.5.2008

Sähköisten palveluiden tietoturva Maksufoorumi, Suomen Pankki 29.5.2008 Sähköisten palveluiden tietoturva Maksufoorumi, Suomen Pankki 29.5.2008 Jari Pirhonen Turvallisuusjohtaja, CISSP, CISA Samlink www.samlink.fi Samlinkin visiona on olla finanssialalla asiakaslähtöisin,

Lisätiedot

010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva

010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva 010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva Pekka Jäppinen 31. lokakuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 31. lokakuuta 2007 Tietokone Koostuu raudasta ja ohjelmista

Lisätiedot

Tietoja RICOH Smart Device Connectorin käyttäjille: Laitteen määritys

Tietoja RICOH Smart Device Connectorin käyttäjille: Laitteen määritys Tietoja RICOH Smart Device Connectorin käyttäjille: Laitteen määritys SISÄLLYSLUETTELO 1. Kaikille käyttäjille Johdanto...3 Tietoja oppaasta...3 Tavaramerkit... 4 Mikä on RICOH Smart Device Connector?...

Lisätiedot

Verkottunut suunnittelu

Verkottunut suunnittelu Rintekno Oy / JMM / 10.1.2002 Verkottunut suunnittelu DOKUMENTTI- POHJAINEN Tarkastus ja hyväksyntä Automaattinen dokumenttien luonti MALLIPOHJAINEN 2D:SSÄ JA 3D:SSÄ Tarkastus ja hyväksyntä Virtuaaliset

Lisätiedot

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA TTL 60 vuotta Roadshow, Tampere 5.11.2013 TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA Antti Pirinen, Tietoturva ry Antti Pirinen Tietoturva ry Hallituksessa 2009 -> Sihteeri 2013 Työkokemus: 2012 -> KPMG:n

Lisätiedot

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

Uusi kuntalaki: Miten sähköisiä toimintatapoja edistetään? Katariina Huikko, lakimies Kuntalaki uudistuu seminaari Kuntatalo 3.6.

Uusi kuntalaki: Miten sähköisiä toimintatapoja edistetään? Katariina Huikko, lakimies Kuntalaki uudistuu seminaari Kuntatalo 3.6. Uusi kuntalaki: Miten sähköisiä toimintatapoja edistetään? Katariina Huikko, lakimies Kuntalaki uudistuu seminaari Kuntatalo 3.6.2014 Tavoitteena Ajasta ja paikasta riippumattoman päätöksenteon mahdollistaminen

Lisätiedot

PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus

PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus 1 (7) PARAVANT REITTi-VARMENNUSPALVELU Yleinen palvelukuvaus 18.04.2005 2 (7) Sisällysluettelo 1 REITTi -varmmennuspalvelun palvelukuvaus... 3 1.1 REITTi -varmennuspalvelu... 3 2 Tekninen toteutus... 4

Lisätiedot

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma

Lisätiedot

TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...

Lisätiedot

Modernien salausalgoritmien aikajana

Modernien salausalgoritmien aikajana Osa2: Jono- ja lohkosalaus Modernien salausalgoritmien aikajana II ww 41-45 50 ekr 1550 1919 Block ciphers 1976 DES -----------------------> 2001 AES 1975 Caesarsalaus Vigeneren salaus One Time Pad Enigma

Lisätiedot

Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org

Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a. Mikko Rauhala Vaalimasinointi.org Y k s i t y i s y y s j a t i e t o s u o j a v e r k o s s a Mikko Rauhala Vaalimasinointi.org M i t k ä t i e d o t, m i l t ä s u o j a s s a? Verkossa kulkee paljon yksityistä tietoa, josta moni taho

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...

Lisätiedot

IHTE-1900 Seittiviestintä

IHTE-1900 Seittiviestintä IHTE-1900 Seittiviestintä Tietoturva 8.11. Päivän aiheet Mitä on tietoturva? - Lyhyt katsaus erilaisiin tietoturvaluokituksiin Miksi tietoturva on tärkeää? Joitakin tietoturvapalveluita Symmetrinen vs.

Lisätiedot

IHTE-1900 Seittiviestintä

IHTE-1900 Seittiviestintä IHTE-1900 Seittiviestintä Tietoturva 8.11. Päivän aiheet Mitä on tietoturva? - Lyhyt katsaus erilaisiin tietoturvaluokituksiin Miksi tietoturva on tärkeää? Joitakin tietoturvapalveluita Symmetrinen vs.

Lisätiedot

Miten varmistaa käytettävyys terveydenhuollon tietojärjestelmien* hankinnoissa? Vaihtoehdot ja niiden haasteet?

Miten varmistaa käytettävyys terveydenhuollon tietojärjestelmien* hankinnoissa? Vaihtoehdot ja niiden haasteet? Miten varmistaa käytettävyys terveydenhuollon tietojärjestelmien* hankinnoissa? Vaihtoehdot ja niiden haasteet? Timo Jokela, FT, dos. Joticon Oy (Oulun yliopisto, Helsingin yliopisto) *asiakaskohtaisten

Lisätiedot

Sähköi sen pal l tietototurvatason arviointi

Sähköi sen pal l tietototurvatason arviointi Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein

Lisätiedot

Kieku-tietojärjestelmä Työasemavaatimukset

Kieku-tietojärjestelmä Työasemavaatimukset Valtiokonttori Kieku-toimiala Ohje 18.5.2015 Kieku-tietojärjestelmä Työasemavaatimukset Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.00 15.2.2012 Eero Haukilampi

Lisätiedot

Suomen kulttuurilaitokset

Suomen kulttuurilaitokset Suomen kulttuurilaitokset Kurssi, kevät 2001 Moskovan yliopisto Leena Kononen Tiedonhaku Suomesta Julkisten viranomaisten, valtion ja kuntien keskeiset palvelut sekä keskeiset julkiset tiedot löytyvät

Lisätiedot

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely Valtiovarainministeriö TUVE-hanke 03/2012 TUVE - esityksen sisältö 1. Mitä hallinnon turvallisuusverkolla tarkoitetaan

Lisätiedot

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat? Tietoturva ja tietosuoja Millaisia ovat tietoyhteiskunnan vaarat? Mitä on tietoturva? Miten määrittelisit tietoturvallisuuden? Entä tietosuojan? Mitä ylipäänsä on tieto siinä määrin, kuin se ihmisiä kiinnostaa?

Lisätiedot

Kansallinen palveluarkkitehtuuri ja maksaminen. Julkisen hallinnon ICT-toiminto Yksikön päällikkö Riku Jylhänkangas 19.5.2014. Miksi?

Kansallinen palveluarkkitehtuuri ja maksaminen. Julkisen hallinnon ICT-toiminto Yksikön päällikkö Riku Jylhänkangas 19.5.2014. Miksi? Kansallinen palveluarkkitehtuuri ja maksaminen ICT-toiminto Yksikön päällikkö Riku Jylhänkangas 19.5.2014 Miksi? Taloudellinen tilanne synkkä Osaaminen on Suomen vahvuus, sitä on hyödynnettävä kaikin tavoin

Lisätiedot

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa 13.05.2015 Terveydenhuollon ATK-päivät Tampere-talo Yleistä Riskienhallintaan löytyy viitekehyksiä/standardeja kuten ISO 31000

Lisätiedot

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen) Valtiokonttori Kieku-toimiala Ohje Mikko 18.4.2016 Kieku-tietojärjestelmä Työasemavaatimukset 1 (5) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.5 12.2.2014 Mikko

Lisätiedot

Suorin reitti Virtu-palveluihin

Suorin reitti Virtu-palveluihin Suorin reitti Virtu-palveluihin Haka- ja Virtu-seminaari 9.2.2011 Hannu Kasanen, Secproof Finland Secproof Finland Noin 15 hengen konsultointi- ja asiantuntijapalveluita tarjoava yritys Perustettu vuonna

Lisätiedot

Vaivattomasti parasta tietoturvaa

Vaivattomasti parasta tietoturvaa Vaivattomasti parasta tietoturvaa BUSINESS SUITE Tietoturvan valinta voi olla myös helppoa Yrityksen tietoturvan valinta voi olla vaikeaa loputtomien vaihtoehtojen suossa tarpomista. F-Secure Business

Lisätiedot

PKI Käytännön kokemukset ja SWOT-analyysi

PKI Käytännön kokemukset ja SWOT-analyysi PKI Käytännön kokemukset ja SWOT-analyysi TIEKE Toimivan Sähköisen Asioinnin Edellytykset 6.3.2001 Jari.Pirhonen@atbusiness.com Projektin tavoitteet ja toteutus Tavoite Kerätä ja dokumentoida kokemuksia

Lisätiedot

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä 157/2009 Jussi Holmalahti, johtaja Lupaosasto Tietojärjestelmät

Lisätiedot