Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2001 SALAUSKÄYTÄNTÖJÄ KOSKEVA VALTIONHALLINNON TIETOTURVALLISUUSSUOSITUS

Koko: px
Aloita esitys sivulta:

Download "Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2001 SALAUSKÄYTÄNTÖJÄ KOSKEVA VALTIONHALLINNON TIETOTURVALLISUUSSUOSITUS"

Transkriptio

1 Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2001 SALAUSKÄYTÄNTÖJÄ KOSKEVA VALTIONHALLINNON TIETOTURVALLISUUS Salausmenetelmien käyttö valtion tietohallinnossa

2 SISÄLTÖ ESIPUHE JOHDANTO Hankkeen tausta Suosituksen laatiminen Suosituksen tarkoitus, kohderyhmä ja rajaus Terminologia ja teknologia SUOSITUKSET Yleistä Käytettäviksi suositeltavat algoritmit tapauskohtaisesti Salauskäytännöt eri käsittelyvaiheissa Salaustuotteiden tason ja toiminnan varmistaminen Sähköinen tunnistus, todentaminen ja allekirjoitus Tiedonsiirron ja tietojen salauspolitiikka Jatkotoimenpidesuositukset LÄHTÖKOHTIEN KUVAAMINEN Lähtökohdat on kuvattu erillisessä taustamateriaalissa SALAUSALGORITMIEN JA -MENETELMIEN SOVELTUVUUDEN ARVIOINTI Salaustekniset peruselementit Symmetriset lohkosalaajat (symmetric block ciphers) Synkroniset jonosalaajat (synchronous stream ciphers) Itsesynkronoituvat jonosalaajat (self-synchronising stream ciphers) Symmetriseen salaukseen ja muut salaiseen avaimeen perustuvat tiivistefunktiot Törmäyksettömät (avaimettomat) tiivistefunktiot Yksisuuntaiset (avaimettomat) tiivistefunktiot (one-way hash functions, OWHF) Näennäissatunnaisten toimintojen perheet (Families of pseudorandom functions) Epäsymmetriset salausjärjestelmät (asymmetric encryption schemes) Epäsymmetriset digitaalisen allekirjoituksen järjestelmät (asymmetric digital signature schemes) Epäsymmetriset tunnistus- ja todennusjärjestelmät (asymmetric identification schemes) Salausmenetelmien turvallisuustason arvioinnin ja analysoinnin lähtökohtia Turvallisen avainten hallinnan lähtökohtia Salausmenetelmän vahvuus Yleiset perusteet Esimerkkejä tuotteista Wassenaarin järjestely USA:n vientirajoitukset Riittävien avainpituuksien määrittely Yleistä Turvallisten salausteknisten peruselementtien perusvaatimukset Salaustekniikkaan perustuvien tietoturvasovellusten perusvaatimukset Sähköinen tunnistaminen, todentaminen ja allekirjoitus... 31

3 4.6.2 Tiedonsiirron ja sähköpostin luottamuksellisuuden ja eheyden turvaaminen Säilytettävien tietoaineistojen luottamuksellisuuden ja eheyden turvaaminen SALAUKSEN KÄYTÖN KEHITYSNÄKYMIÄ Vahva todentaminen Luottamuksellisuuden turvaaminen Eheyden valvontamekanismit Tekninen hallinnointi KATSAUS MARKKINOILLA OLEVIIN SALAUSOHJELMISTOIHIN LÄHTEET VALTIOVARAINMINISTERIÖN ANTAMIA TIETOTURVALLISUUSOHJEITA

4 ESIPUHE Tämä suositus on tehty valtionhallinnon tietoturvallisuus- ja tietohallintoasiantuntijoille avuksi organisaation salauskäytäntöjen määrittelyyn. Salaukseen perustuvilla tietoturvallisuuden sovelluksilla voidaan parantaa tietoturvallisuuden tasoa kaikilla osa-alueilla: luottamuksellisuus, eheys ja käytettävyys, samoin kuin niiden teknisiin toteutuksiin kuuluvilla käyttöoikeuksien hallinnan ja kiistämättömyyden osa-alueilla. Suosituksessa kannustetaan käyttämään salausta erityissuojattavien tietoaineistojen osalta mahdollisimman laajasti. Salauksen käyttöä voidaan laajentaa kaikkeen tiedonkäsittelyyn sitten, kun salaukseen perustuvat tietoturvaohjelmistot integroituvat käytettäviin sovelluksiin ja tulevat käyttäjille läpinäkyviksi. Luvussa kaksi on selvitetty miten eri toimintojen tietoturvallisuutta voidaan parantaa salausteknisin keinoin ja mitä algoritmeja ja avainpituuksia tulisi käyttää eri tilanteissa. Lisäksi on pohdittu, miten salaustuotteiden tasoa ja toimintaa voidaan arvioida sekä annettu suositukset siitä, millaisissa käyttöympäristöissä (erillinen työasema/suljettu verkko/yleisiin tietoverkkoihin liitetty järjestelmä) eri turvaluokkiin luokiteltuja tietoaineistoja voidaan käsitellä markkinoilla olevia salaustuotteita apuna käyttäen. Luku 3, jossa on kuvattu suosituksen lähtökohdat, on siirretty taustamateriaaliksi. Taustamateriaali on julkaistu erillisenä Internet-osoitteessa: Luvussa 4 on avattu salausalgoritmien ja menetelmien vahvuuden arvioinnin teoriaa sekä annettu yleisohjeita avainten hallinnan järjestämistä. Luvussa 5 on ennustettu salauksen käytön kehitysnäkymiä. Luvussa 6 on taulukkomuotoisesti esitetty markkinoilla olevien ohjelmistojen soveltuvuutta eri toiminnoissa käytettäviin salausmenettelyihin. Taulukko ei ole kattava, siihen on pyritty keräämään Suomessa markkinoilla olevat yleisimmät tuotteet. Jatkotoimenpiteiksi suositusta laatinut työryhmä ehdottaa, että 1) perustetaan verkosto, joka muodostuu valtionhallinnon yksiköissä työskentelevistä, salauskäytännöistä yksiköissään vastaavista henkilöistä ja jonka tehtävänä on kerätä ajantasaista tietoa salauskäytännöistä ja sovelluksista ja levittää tietämystä kaikkiin valtionhallinnon yksiköihin, 2) järjestetään salaustuotteista tarjouskilpailu, jonka perusteella valitaan tuotteet, joista tehdään puitesopimukset valtionhallinnon käyttäjille ja 3) valtionhallinnon hankinnoissa asetetaan etusijalle ne salaustuotteet, jotka on asianmukaisesti sertifioitu. 1

5 1 JOHDANTO 1.1 Hankkeen tausta Salauskäytäntöjen määrittelyn tarve valtionhallinnon asiakirjojen ja sähköpostien käsittelyä varten on noussut esiin muun muassa seuraavissa työryhmissä: Valtionhallinnon tietoturvallisuuden johtoryhmän alaisuudessa toimiva Tietojen luokittelu- ja käsittelyohjeita määrittelevä työryhmä Valtion tietohallinnon johtoryhmän alaisuudessa toimiva Hallinnon turvallinen sähköposti (S/MIME) SM:n asettama Virkamiehen asiointikortti -työryhmä. Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje, Nykyisessä ohjeistuksessa puhutaan yleisesti riittävästä salauksesta, tekniseen toteutukseen, kuten esimerkiksi soveltuviin algoritmeihin ja avainpituuksien riittävyyteen (käyttäjien vapaasti valittavissa olevien avainten määrään) ei ole juurikaan otettu kantaa. Eräitä yksityiskohtia on käsitelty Valtion Internetin käyttö- ja tietoturvallisuussuosituksessa (VAHTI 1/1998). Valtiovarainministeriön hallinnon kehittämisosasto on antanut ohjeen salassa pidettävien tietojen ja asiakirjojen turvaluokitteluista ja merkinnöistä (VM 5/01/2000). 1.2 Suosituksen laatiminen Valtiovarainministeriön hallinnon kehittämisosasto asetti jaoston valmistelemaan salauskäytäntöjä koskevaa valtionhallinnon tietoturvallisuussuositusta. Jaosto toimi valtiovarainministeriön asettaman valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) alaisuudessa ja ohjauksessa. Jaoston kokoonpano oli seuraava: Puheenjohtaja Terho Arja Neuvotteleva virkamies Valtiovarainministeriö Jäsenet Hyytiä Kalevi Tietoturvallisuuspäällikkö Pääesikunta, turvallisuusosasto Ojala Ossi Erikoistutkija Pääesikunta, tietotekniikkaosasto Saarinen Jarmo atk-päällikkö Ulkoasiainministeriö Sillanpää Juhani Tietoturvapäällikkö Sisäasiainministeriö Tuomaila Timo, Tietoturvapäällikkö, Verohallitus Rantanen Tapani Johtaja Telehallintokeskus. Konsultointityön suorittivat ICL:n konsultit Aarno Kansikas ja Juhani Jämiä, yhteistyökumppanina Hannu Koukkula IS-Comsec Oy. 2

6 Suosituksen luonnos lähetettiin lausuntokierrokselle virastoihin, laitoksiin ja tietoturvapalveluita tarjoaviin yrityksiin. Työryhmä käsitteli saamansa 43 lausuntoa ja ne huomioitiin suosituksessa mahdollisuuksien mukaan. 1.3 Suosituksen tarkoitus, kohderyhmä ja rajaus Suositus on tarkoituksellisesti tieto- ja salaustekniikkakeskeinen. Tietoturvallisuuden kehittämisen kokonaisnäkökulmaa sekä muita näkökulmia on esitetty muissa valtinhallinnon tietoturvallisuussuosituksissa ja ohjeistuksissa: (http://www.vn.fi/vm/kehittaminen/tietoturvallisuus/vahti/vahti2.htm ). Tämä suositus on tarkoitettu käytettäväksi yleisohjeena valtionhallinnon organisaatioissa. Kunkin organisaation on syytä tehdä tarkennettu ohje omista salauskäytännöistään. Tähän tarkennettuun ohjeeseen liittyvät tekniset (liite)kuvaukset ja käytännöt on turvaluokiteltava. Suosituksen kohderyhmä on tietoturvallisuuden ja tietohallinnon asiantuntijat, jotka joutuvat työssään tekemään päätöksiä organisaationsa salauskäytännöistä. Suosituksen tehtävänä on: määritellä riittävät salauskäytännöt eheyden turvaamiseen sekä viranomaisten sisäiseen ja viranomaisten väliseen että viranomaisen ja kansalaisten tai asiakkaiden väliseen yhteydenpitoon suosittaa, mitkä salauskäytännöt ovat riittäviä eri tyyppisten tietojen, asiakirjojen ja sähköpostiviestien käsittelyyn eri käsittelyvaiheissa selvittää millaisia ohjelmistoja ja muita tuotteita salauksen toteuttamiseen on tarjolla laatia tietoturvallisuussuositus, jonka avulla voidaan parantaa tietoturvallisuuden tasoa yhtenäistämällä salauskäytäntöjä ja salaustekniikan käyttöä valtionhallinnossa. 1.4 Terminologia ja teknologia Tietoturvallisuuden keskeisimmät käsitteet on määritelty Valtion tietoturvallisuuden johtoryhmän (VAHTI) ohjeessa, Valtionhallinnon tietoturvallisuuskäsitteistö ; 1/2000. Tietoturvallisuusalan nopea kehittyminen on tehnyt tarpeelliseksi tarkentaa joitain määrittelyjä, määritellä jotkut termit uudelleen sekä määritellä aikaisemmin määrittelemättömiä asioita. Tämän työn yhteydessä tarpeellisiksi nähdyt tarkennetut ja uudet määrittelyt on esitetty taustamateriaalissa. Teknologiaa on yksityiskohtaisemmin kuvattu lähdeaineistossa. 3

7 2 SUOSITUKSET 2.1 Yleistä Valtionhallinnon organisaatioiden tietoturvallisuus on kokonaisuus, jonka perustan muodostaa organisaatioiden ja niiden sidosryhmien toiminnan järjestelyillä sekä niiden toimintaa tukevien teleoperaattoreiden tai muiden ulkoistettujen palvelujen tuottajien toimenpiteillä aikaansaatu perusturvallisuus. Turvallisuutta voidaan kehittää perusturvallisuutta paremmaksi yleensä parhaiten organisaatioiden ja niiden sidosryhmien omien tarpeidensa perusteella toteuttamilla lisätoimenpiteillä. Organisaation tietoturvallisuuden kannalta kokonaisturvallisuus on tärkeämpi kuin yksi sen tekijöistä, esimerkiksi salausteknologia. Organisaatiolla tulee olla muun muassa tietoturvallisuuspolitiikka, perusturvallisuuden tietoturvallisuussuunnitelma, tietoturvallisuusarkkitehtuuri, perusinfrastruktuurin tietoturvallisuusratkaisut sekä toiminnassa olevat toipumis- ja varmistusmenettelyt. Salausmenetelmät ja niihin perustuvat laajemmat tietoturvaratkaisut ovat teknisen tietoturvallisuuden kehittämisen työkaluja. Tekninen tietoturvallisuus on puolestaan osa kokonaistietoturvallisuutta. Teknisillä tietoturvallisuuden kehittämisen työkaluilla pyritään parantamaan käytön järjestelyillä saavutettavaa tietoturvallisuutta. Inhimilliset tekijät, toimintatavat ja käytännön toimintaprosessit ovat keskeisiä tekijöitä salauskäytäntöjen tehokkuudessa. Esimerkiksi käyttöliittymien ja koko järjestelmän käyttäjäkeskeinen suunnittelu voidaan katsoa tärkeämmäksi tekijäksi salauskäytäntöjen toteuttamisessa kuin tietty salausteknologiavalinta tai salausavaimen pituus. Salauskäytäntöjen kehittäminen ja valinta tulisi perustua riskianalyysiin ja sen tulisi olla osa jatkuvaa tietoturvallisuuden kehittämisprosessia. Valtionhallinnon tietoturvallisuuden kehittämisprosessi on kuvattu VAHTIn ohjeessa 1/2001: Valtion viranomaisen tietoturvallisuustyön yleisohje. Yritysmaailmassa käytetään usein British Standard 7799 (BS 7799, ISO 17799) mukaista tietoturvallisuusjärjestelmän sertifiointia. Salaukseen perustuvaa tietoturvallisuuden teknistä kehittämistä käytetään vielä pääasiassa korkeammilla tietoturvallisuuden tasoilla. Tämän lähtökohdan tulisi asettaa korkeat laatuvaatimukset käytettävien salausmenetelmien ja niiden avainten hallinnan tasolle (katso myös tämän raportin kohdat 4.3, ja 4.5.2). Organisaatio- ja sovellusympäristökohtaisesti joudutaan lisäksi arvioimaan, miten todetaan ja otetaan huomioon sovellusympäristön, teknisen hallinnoinnin ja muut mahdolliset vaikutukset kokonaisturvallisuuteen. Erityistä huomiota tulee lisäksi kiinnittää käytön helppouteen. Salaukseen perustuvien turvaratkaisujen tulisi olla loppukäyttäjälle helppokäyttöisyyden lisäksi mahdollisimman läpinäkyviä ja ohittamattomia. Salausmenetelmien ja niihin perustuvien laajempien teknisten tietoturvasovellusten merkitys tietoturvallisuuden kehittämisessä on lisääntymässä nopeasti. Useissa sovelluksissa 4

8 salaukseen perustuvista tietoturvallisuuden teknisistä osista on tullut jo perusturvallisuuteen kuuluvia, sovelluksiin integroituja osia. Salaukseen perustuvilla tietoturvallisuuden sovelluksilla voidaan parantaa tietoturvallisuuden tasoa kaikilla osa-alueilla; luottamuksellisuus, eheys ja käytettävyys samoin kuin niiden teknisiin toteutuksiin kuuluvilla käyttöoikeuksien hallinnan ja kiistämättömyyden osaalueilla. Tietoturvallisuuden parantamisen onnistuminen salaustekniikkaa käyttäen riippuu ratkaisevasti salausmenetelmiin ja niiden käyttöön liittyvien riskien hallinnasta. Tärkeimpiä varmistumisen ja hallinnoinnin kohteita ovat käyttöön otettavien menetelmien turvallisuuden taso, käytön oikea toteuttaminen, oikean käytön ja toiminnan jatkuva valvonta sekä erityisesti turvallinen avainten hallinta. 2.2 Käytettäviksi suositeltavat algoritmit tapauskohtaisesti Salausalgoritmeina ja tiivistefunktioina suositellaan käytettäväksi ensisijaisesti julkistettuja ja kansainvälisen tiedeyhteisön tutkimia, vahvoja algoritmeja ja tiivistefunktioita. Lisäksi voidaan käyttää erikseen tutkittuja ja vahvoiksi todettuja, ei-julkistettuja algoritmeja. Julkistettuja algoritmeja ja funktioita tulee käyttää ainakin useamman organisaation käyttämissä avoimen ympäristön sovelluksissa. Ei-julkistettujen algoritmien käyttö on mahdollista yleensä vain ennalta määriteltyjen käyttäjien suljetuissa ympäristöissä. Kaupallisten tuotteiden osalta on vaikea varmistua siitä, että ohjelmistossa todella käytetään sovittua algoritmia. Lähdekoodihan ei yleensä ole käytettävissä. Eräs mahdollisuus on, että kaupallisen tuotteen valmistaja hankkisi ja julkistaisi tuotteelle myös sen sisältämien algoritmien implementointia koskevan todistuksen eli sertifikaatin 3. osapuolelta. Algoritmeja valittaessa olisi otettava huomioon synkronointitarpeet jo eri alueilla käytössä oleviin suojauskäytäntöihin muun muassa EU-/EKP -yhteyksissä, samoin tulisi arvioida valtionhallinnossa laajalti suunniteltavien sähköisten palvelujen tarpeet erilaisen mobiilitekniikan kehityksenkin valossa. Kaupallisissa tuotteissa yleensä esiintyvistä algoritmeista sekä funktioista ovat tällä hetkellä (12/2000) suositeltavia ja hyväksyttäviä seuraavassa luettelossa mainitut. Hankittaviksi valittavista tuotteista tulee löytyä vähintään yksi luettelossa kyseessä olevaan käyttötarkoitukseen mainituista vaihtoehdoista. Mikäli tuotteessa on vain yksi hyväksytty algoritmi tai funktio, sitä on käytettävä. Kaupallisten tuotteiden lisäksi ilmaisia Linux-kehitysyhteisön tuottamia salaustuotteita. Symmetrisessä lohkosalauksessa vähintään 128 bittistä avainta käyttävät julkistetut algoritmit: AES, Blowfish, (3DES?) 1, IDEA, RC5 ja Twofish. Näiden algoritmien tärkeimpiä käyttökohteita ovat luottamuksellisuuden turvaaminen pakettimuotoisessa tietoliikenteessä sekä salassa pidettävien tietoaineistojen tallennuk- 1 3DES:n vahvuudesta on asiantuntijoiden keskuudessa runsaasti eriäviä mielipiteitä. Arviot "raa'an voiman hyökkäykseen" tarvittavien kokeilujen määrästä vaihtelevat sovellusympäristöstä riippuen välillä Arvioiden painopiste on lähempänä edellä mainittua alarajaa. Tästä syystä 3DES:a ei voida pitää perusvaatimukset luotettavasti täyttävänä algoritmina. 5

9 sessa. Pakettimuotoista tietoliikennettä on esimerkiksi IP-liikenne (Internet Protokolla-). Symmetrisessä jonosalauksessa edellisten jonosalaussovellukset sekä eijulkaistut, vähintään 128 bittistä avainta käyttävät algoritmit. Näiden algoritmien tärkein käyttökohde on luottamuksellisuuden turvaaminen jonomuotoisessa tietoliikenteessä, esimerkiksi puhelin-, GSM- ja faksiliikenteet. Jonosalausta voidaan käyttää myös tallennettavien, salassa pidettävien tietoaineistojen luottamuksellisuuden turvaamiseen. Epäsymmetrisistä algoritmeista vähintään 1024 bittiseen moduuliin perustuvat, julkistetut algoritmit: Diffie-Hellman, DSA, ElGamal ja RSA. Näiden algoritmien tärkeimpiä käyttökohteita ovat vahva todentaminen ja sähköiset allekirjoitukset. Niihin perustuen voidaan toteuttaa muun muassa jäljitysketjuja ja kiistämättömyyspalveluja sekä järjestää symmetristen salausmenetelmien käytön vaatima automaattinen avainten hallinta. Tiivistefunktioista vähintään 128 bittisen tiivisteen tuottavat julkistetut funktiot: MD5 2, RIPEMD-128, RIPEMD-160, SHA-1 ja SHA-256. Tiivistefunktioiden tärkeimpiä käyttökohteita ovat tietoaineistojen eheyden turvaamismekanismit sekä vahvan todentamisen ja sähköisten allekirjoitusten protokollat. Salausta on käytettävä tiivistefunktion lisäksi jos halutaan täysin varmaa järjestelmää. 2.3 Salauskäytännöt eri käsittelyvaiheissa Tietojen luokittelu luottamuksellisuuden, eheyden ja käytettävyyden suhteen Viranomaisen tietojen luokittelu perustuu muun muassa tietosuojalakiin, julkisuuslakiin ja sen täytäntöönpanoa koskevaan asetukseen sekä Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohjeeseen, VAHTI 2/2000. Tietoturvallisuuden parantamien toiminnan asettamien vaatimusten perusteella samoin kuin salauskäytäntöjen yhdenmukaistaminen edellyttävät selkeiden luokituskäytäntöjen kehittämistä myös eheydelle ja käytettävyydelle. VAHTI:n ohjeessa 2/2000 on esitetty 2 MD5 (Message Digest Algorithm 5) is a cryptographic hash algorithm developed at RSA Laboratories. It can be used to hash an arbitrary length byte string into a 128 bit value. MD5's ancestor, MD4 has been broken, and there are some concerns about the safety of MD5 as well. For instance, "keyed MD5" (typically used for authentication by having a shared secret, and computing an authentication value by hashing first the secret (as a key), and then the data to be hashed) has been reported to be broken. It is also reported that one could build a special-purpose machine costing a few million dollars to find a plaintext matching given hash value in a few weeks. Despite these problems, MD5 is still in wide use and reasonably safe for non-cryptographic applications of hashfunctions. 6

10 yleiset periaatteet tietojen luokittelulle myös käytettävyyden ja eheyden osalta. Kunkin organisaation tulisi määritellä tarkemmat ohjeet itse. Salauksen käyttö tietoaineistojen käsittelyssä Salaukseen perustuvien tietoturvaominaisuuksien lisääminen käytössä oleviin järjestelmiin voi vaatia useissa tapauksissa huomattavia kustannuksia ja suhteellisen suurta työpanosta. Joissain tapauksissa myös tekniset mahdollisuudet voivat olla vähäiset. Näistä syistä vahvaan salaukseen perustuvia mekanismeja suositellaan käytettäväksi olemassa olevissa järjestelmissä (toimintojen analysointiin perustuen) perusturvallisuutta parempaa tietoturvallisuutta vaativissa kohteissa. Toimintoja analysoitaessa kannattaa selvittää onko mahdollista jakaa tietoaineistojen käsittely-ympäristöt erityissuojattavien ja muiden tietoaineistojen ympäristöihin. Tällaisen päätöksen teko perustuu ainakin julkisten ja erityissuojattavien tietoaineistojen ja niiden käsittelyjen suhteellisiin määriin. Julkisten aineistojen ympäristössä tietoturvallisuus voidaan usein toteuttaa perusturvallisuuteen kuuluvilla ratkaisuilla ilman salaustekniikkaa. Erityissuojattavien aineistojen ympäristössä vahvaa salausta suositellaan käytettäväksi kaikkiin seuraavissa luvuissa eri käsittelyvaiheissa mainittuihin tarkoituksiin. Erityissuojattavaa aineistoa ovat turvaluokkiin III - I kuuluvat ja muut salassa pidettävät aineistot sekä eheyden ja käytettävyyden osalta erityissuojattavat tietoaineistot. Käyttöjärjestelmiin ja sovelluksiin integroitujen, riittävän vahvojen salausteknisten turvaominaisuuksien käyttöön tulon myötä kannattaa siirtyä salaukseen perustuvan tietoturvallisuuden mahdollisimman laajaan käyttöön. Viranomaisten sisäinen tietoaineistojen käsittely ja säilytys Salauksen käyttökohteita viranomaisen sisäisessä tiedonkäsittelyssä voivat olla käyttäjätunnussalasana menettelyn korvaaminen laatuvarmenteisiin 3 perustuvalla henkilökäyttäjien vahvalla todentamisella sekä säilytettävien tietoaineistojen luottamuksellisuuden ja eheyden turvaaminen tiedostopohjaisesti. Tietokantaympäristöihin soveltuvia tuotteita (tietokannan salaus) ei juurikaan löydy markkinoilta tällä hetkellä. Sisäiseen tietoaineistojen käsittelyyn voidaan lisäksi lukea etäkäyttö, etätyö ja kannettavien tietokoneiden käyttö. Salauksen mahdollisia käyttökohteita niissä ovat vahva todentaminen sekä luottamuksellisuuden ja eheyden turvaaminen. Esimerkkejä mahdollisista tuotteista (esimerkkiluettelo vajavainen) on lueteltu seuraavassa: Vahvassa todentamisessa sekä digitaaliseen allekirjoitukseen perustuvassa eheyden turvaamisessa voidaan käyttää toimikorttipohjaista 4 (varmennesiru-) laatu- 3 Laatuvarmenteiden määrittely on Suomessa vielä kesken 4 Eri toimikorttien teknistä toimivuutta, käytön helppoutta ja turvallisuutta, markkinakehitystä ja tulevaisuutta yleensä on tällä hetkellä vaikea arvioida 7

11 varmenteisiin perustuvaa ratkaisua. Muitakin keinoja vahvaan todentamiseen on olemassa (esim. Kerberos). Varmenteiden osalta valtiovarainministeriön ylläpitämä mahdollisimman kattava luettelo hallinnossa käytettävistä varmenteista löytyy osoitteesta: Säilytettävien tietoaineistojen luottamuksellisuuden ja usein myös eheyden turvaamiseen voidaan käyttää tiedostojen salaukseen tarkoitettuja tuotteita, joita tarjoavat Suomessa muun muassa F-Secure, SecGo Solutions ja. Lisäksi voidaan käyttää suljetun ympäristön tuotteita, esimerkiksi Sveitsiläinen Omnisec AG. Henkilökohtaisten toimikorttien (varmennesiru) käyttö ei sovellu tähän käyttötarkoitukseen. Työasemien ja erityisesti kannettavien tietokoneiden kiintolevyjen kokonaan tai osioittain salauksessa voidaan käyttää tähän tarkoitukseen kehitettyjä tuotteita, joita tarjoavat muun muassa Protect Data, ja Omnisec Ascom Fintel Oy:n välityksellä. Etäkäytön ja etätyön sovelluksissa samoin kuin kannettavien tietokoneiden tietoturvallisuuden parantamisessa voidaan käyttää toimikorttipohjaisia (varmennesiru) laatuvarmenteisiin perustuvia ratkaisuja, VPN- ja muita IP-Sec tuotteita, kiintolevyjen salaustuotteita sekä suljettuihin käyttäjäympäristöihin tarkoitettuja erillistuotteita. Tällaisia tuotteita tarjoavat muun muassa F-Secure, Nokia, Protect Data, Sec- Go Solutions ja sekä suljettuihin ympäristöihin Omnisec AG. Tässä yhteydessä tulisi erityisesti käyttää sellaisia VPN-tuotteita, joihin olennaisesti liittyy käyttäjän vahva tunnistaminen. Esimerkiksi Novotrustin TrustVPN-tuote poikkeaa merkittävästi muista markkinoilla olevista VPN-tuotteista juuri tämän ominaispiirteen johdosta. Salauksen käyttö edellä esitettyihin tarkoituksiin edellyttää turvallisen ja ainakin osittain käyttäjäorganisaation vastuulle tulevan salausavainten sekä käytettävien teknisten ratkaisujen edellyttämien muiden organisatoristen ja teknisten hallintajärjestelmien luomista. Viranomaisorganisaatioiden väliset yhteistoiminnat samoin kuin viranomaistoimintojen jakautuminen useamman kuin yhden organisaation vastuulle edellyttävät salausavainten ja muiden hallintajärjestelmien riittävää yhteistoimintakykyä. Erityisen suuri haaste on pitkäaikaisesti säilytettävien tietoaineistojen yhteydessä käytettyjen salausteknisten turvapalvelujen tekninen hallinnointi. Ongelma voi vaikeutua erityisesti konvertoidessa aineistoa uuteen tekniseen ympäristöön. Myös aineiston muuttuminen julkiseksi tietyn ajanjakson jälkeen tulisi ottaa huomioon turvapalveluja teknisesti hallittaessa, samoin kuin avainten hallinta. Esimerkiksi 25 vuoden arkistoinnin ajan avaimen turvallinen säilyttäminen on haastavaa. Uusien järjestelmien ja sovelluksien hankinnoissa ja kehittämisessä suositellaan hankittavaksi järjestelmiä ja sovelluksia, joihin sisältyy mahdollisimman monipuoliset, vahvaan 8

12 salaukseen perustuvat tietoturvaominaisuudet. Näitä ominaisuuksia suositellaan käytettäviksi mahdollisimman kattavasti kaikessa toiminnassa. Viranomaisten ja sovellusten välinen yhteydenpito Salauksen käyttökohteita viranomaisten välisessä yhteydenpidossa voivat olla henkilökäyttäjien ja loogisten olioiden molemminpuolinen, vahva todentaminen sekä luottamuksellisuuden ja eheyden turvaaminen koko tietojen siirtotapahtuman kattaen. Vahvan salauksen käytön erilliskohteita voivat olla lisäksi sähköposti, etäkäyttö ja etätyö sekä kannettavien tietokoneiden käyttö, joissa voidaan tarvita sekä vahvaa (molemminpuolista) todentamista että luottamuksellisuuden ja eheyden turvaamista. Sähköpostin osalta tulisi tutkia ja määritellä sen asema ja käytännöt viranomaisten välisessä yhteistoiminnassa. Salauksen käyttökohteita sähköpostin yhteydessä voivat olla luottamuksellisuuden ja eheyden turvaaminen sekä sähköiset allekirjoitukset. Käyttöön otettavien mekanismien tulee kyetä toimimaan käytössä olevien ja käyttöön otettaviksi suunniteltujen kohdesovellusten kanssa sekä soveltua myös muutoin dynaamiseen käyttöympäristöön; muun muassa kommunikoivien osapuolten turvallinen ja nopea luonti ja poistaminen tulisi olla joustavasti mahdollisia. Maksuliikenteen salaamisesta on omat suosituksensa (pankkiverkko2, PATU). Esimerkkejä mahdollisista tuotteista (esimerkkiluettelo vajavainen) on lueteltu seuraavassa: Henkilökäyttäjien vahvassa todentamisessa sekä sähköiseen allekirjoitukseen perustuvassa eheyden turvaamisessa voidaan käyttää toimikorttipohjaista (varmennesiru), laatuvarmenteisiin perustuvaa ratkaisua. Muitakin keinoja vahvaan todentamiseen on olemassa (esim. Kerberos). Loogisten olioiden vahvassa todentamisessa voidaan käyttää tiedonsiirron laitteisiin ja sovelluksiin integroituja, loogisille olioille määriteltyihin julkisen avaimen salausmenetelmän avaimiin perustuvia ( loogisten olioiden sähköinen identiteetti ) ratkaisuja. Näitä ratkaisuja ja toteutusmahdollisuuksia löytyy tällä hetkellä VPN- ja muista IPSec tuotteista, palomuurituotteista sekä suljettuihin ympäristöihin tarkoitetuista tietoliikenteen salaustuotteista, muun muassa Omnisec. Sovellustasolla tuotevalikoima on vasta kehitteillä. Loogisten olioiden todentaminen, jota käytetään nykyisin pääasiassa palvelinten varmentamiseen tulisi lähentää virtuaalimaailmassa (tällä tarkoitetaan julkista digitaalista verkkoa, käytännössä Internetiä) toteutettavia käytäntöjä fyysisen maailman vastaaviin, jotta vastuukysymykset voitaisiin hoitaa mahdollisimman selkeästi nykyisin voimassa olevien lakien ja muiden säännösten mukaisesti. Tulevaisuudessa saattavat varmennettavien olioiden tyypit olla varsin moninaisia, mutta tässä vaiheessa riittänee keskittyminen www-palvelimilla olevien palveluiden todentamiseen. Tässä yhteydessä käytetään termiä palveluvarmenne, jolla voidaan todentaa tietty palvelu, ei palvelinta. 9

13 Varmentamisen ja siis tunnistuksen tulisi keskittyä palvelun tarjoajaan, jolloin olion varmentaminen palautuu vastuuhenkilön tunnistamiseen. Eli ei ole syytä ensisijaisesti varmentaa tiettyä palvelinta vaan se taho, joka on vastuussa kyseisen palvelimen eri toiminnoista. Näin saadaan palvelun tarjonta kytkettyä nykyisiin lakeihin ja määräyksiin. Varmentamisen kohteena voi siten olla luonnollinen tai oikeushenkilö. Siirrettävien tietoaineistojen luottamuksellisuuden ja usein myös eheyden turvaamiseen voidaan käyttää VPN ja muita IPSec tuotteita sekä suljettuihin käyttäjäympäristöihin tarkoitettuja erillistuotteita. Tällaisia tuotteita tarjoavat muun muassa F-Secure, Nokia, Protect Data, SecGo Solutions ja sekä suljettuihin ympäristöihin Omnisec. Laatuvarmenteisiin perustuva (VPN-)ratkaisu on TrustVPN. Sähköpostin luottamuksellisuuden ja sähköiseen allekirjoitukseen perustuvaan eheyden turvaamiseen voidaan käyttää S/MIME standardiin perustuvia sähköposti- ja muita tuotteita, joiden olisi edullista tukea toimikorttien (varmennesiru) käyttöä vahvassa todentamisessa. Tuotteista tulisi löytyä myös LDAP hakemistojen käyttötuki. Tuote-esimerkkejä ovat Lotus Notesin sähköposti, Netscape Communicator, Outlook/Exchange sekä Team Waren Tiimiposti. Niissä on kuitenkin suuria eroja toimikorttitukeen (varmennesiru) ja LDAP hakemistojen tukeen liittyen. (Novotrustin henkilövarmenteessa on sähköpostiosoite ja näin ollen se toimii yhdessä mainittujen tuotteiden kanssa.) Työryhmät voivat lisäksi käyttää PGPpohjaisia ratkaisuja sekä suljetun ympäristön tuotteita, esimerkiksi Omnisec. Ne eivät kuitenkaan sovi laajempaan yhteydenpitoon avoimissa ympäristöissä. PGP on kaikkein avoimin mahdollinen salausjärjestelmä sähköpostille, mutta avainten jakelu on sen ongelma. Etäkäytön ja etätyön sovelluksissa samoin kuin kannettavien tietokoneiden tietoturvallisuuden parantamisessa voidaan käyttää toimikorttipohjaisia (varmennesiru) ratkaisuja; esimerkiksi HST; VPN- ja muita IPSec tuotteita, kiintolevyjen salaustuotteita sekä suljettuihin käyttäjäympäristöihin tarkoitettuja erillistuotteita. Tällaisia tuotteita tarjoavat muun muassa F-Secure, Nokia, Protect Data, SAH, SecGo Solutions ja sekä suljettuihin ympäristöihin Omnisec AG. Viranomaisten ja kansalaisten / asiakkaiden välinen yhteydenpito Vahvaan salaustekniikkaan perustuvia mekanismeja voidaan käyttää palvelujen turvallisen käyttöoikeuksien ja käytön hallinnan teknisessä toteuttamisessa. Kommunikoivat osapuolet todentavat tarvittaessa vahvasti toisensa molemminpuolisesti tietojen siirtoon ja muuhun yhteyden pitoon liittyen. Vahvan todentamisen sijasta tai lisäksi voidaan palveluun liittyvien tarpeiden perusteella käyttää sähköisiä allekirjoituksia. Palvelujen analysointiin perustuen vahvaa salausta suositellaan käytettäväksi myös siirrettävien sekä tallennettujen tietoaineistojen luottamuksellisuuden ja eheyden turvaamiseen. 10

14 Käytettävien mekanismien tulee kyetä toimimaan keskenään yhteen sekä soveltua myös muutoin dynaamiseen käyttöympäristöön. Muun muassa käyttäjien turvallinen, nopea ja joustava luonti ja poistaminen on oltava mahdollista. Henkilökäyttäjien vahvan todentamisen samoin kuin sähköisten allekirjoitusten perusteella voidaan myös toteuttaa muun muassa jäljitysketjuja, kiistämättömyys- ja notariaattipalveluja sekä järjestää symmetristen salausmenetelmien käytön vaatima automaattinen avainten hallinta. Esimerkkejä mahdollisista tuotteista on lueteltu seuraavassa: Henkilökäyttäjien vahvassa todentamisessa sekä sähköiseen allekirjoitukseen perustuvassa eheyden turvaamisessa voidaan käyttää toimikorttipohjaista (varmennesiru), laatuvarmenteisin perustuvaa ratkaisua, esimerkiksi Novotrustin varmenteet virkamieskorttivarmenne (yritys / organisaatiovarmenne) ja henkilövarmenne sekä VRK:n kansalaisvarmenteet. Muitakin keinoja vahvaan todentamiseen on olemassa. Siirrettävien tietoaineistojen luottamuksellisuuden ja usein myös eheyden turvaamiseen voidaan käyttää toimikorttipohjaista (varmennesiru) ratkaisua, esimerkiksi henkilön sähköinen todentamisen teknologiaa. Toimikorttiratkaisun (varmennesiru) sijasta tai lisäksi voidaan käyttää käyttöjärjestelmiin tai selaimiin integroituja, vahvaan salaukseen perustuvia turvaratkaisuja, tällä hetkellä esimerkiksi Windows 2000 (W2K:n turvaamisominaisuudet puutteelliset ja epästandardit) ja SSL/TLS. SSL ja SSH ovat turvattomia, jos asiakkaan ja palvelimen välisen reitin kaikkiin väliasemiin ei voi luottaa. Ohjelmallisia (selaimiin integroituja) varmenteita ei pitäisi hyväksyä vahvaan todentamiseen. Käyttäjä ei voi olla varma, ettei hänen avaimiaan ole kopioitu ja siten hänen identiteettinsä voi olla käytössä hänen tietämättään vaikka avainta ei olisi sinänsä murrettu. Toimikorttipohjaisten (varmennesiru) teknisten ratkaisujen perusinfrastruktuuri on jo käytössä Suomessa; katso myös tämän raportin taustamateriaali. Ratkaisujen saaminen laajamittaiseen käyttöön edellyttää sovellusten ja palvelujen kehittämisen lisäksi laatuvarmenteiden yleistymistä ja muiden infrastruktuurin yksityiskohtien edelleen kehittämistä uusien sovelluksien ja palvelujen sekä teknisten toteutusten edellyttämällä tavalla. 2.4 Salaustuotteiden tason ja toiminnan varmistaminen Yleistä Käytettävien salausmenetelmien ja niihin perustuvien tietoturvasovellusten tulisi olla vähintään laskennallisesti turvallisia. Tämä tarkoittaa lyhyesti määriteltynä, että menetelmää tai sovellusta ei voida ratkaista systemaattisella analyysillä käytettävissä olevin resurssein. Useimmilla organisaatioilla ei ole itsellään mahdollisuuksia arvioida onko menetelmä tai sovellus laskennallisesti turvallinen realistiseen uhka- ja riskitilanteeseen verrattuna. Syynä 11

15 tähän on yleensä riittävän asiantuntemuksen sekä tarvittavien välineiden ja menetelmien puuttuminen. Tästä syystä joudutaan yleensä käyttämään kokemusperäisesti turvallisia menetelmiä ja sovelluksia, joista pitkäaikaisissa ja monella taholla tehdyissä analyyseissä ei ole löydetty vakavia heikkouksia. Näiden nk. salausyhteisön hyväksymien menetelmien ja sovellusten osalta tulee kuitenkin muistaa, että tämä lähtökohta ei varmista turvallisuutta uusia hyökkäystyyppejä vastaan. Toinen mahdollisuus on luottaa valmistajan tai palvelujen tarjoajan sanaan. Suurena ongelmana tässä tavassa voivat olla puolueettomuus, asiantuntemus ja arviointikriteerit. Kolmas mahdollisuus on luottaa riippumattoman tahon puolueettomaan arviointiin. Useimmissa tapauksissa tämän vaihtoehdon ratkaisemattomia kysymyksiä ovat: Mikä on riippumaton ja pätevä taho? Mitkä ovat arviointikriteerit? Onko käytettävissä sertifikaatteja ja mikä on niiden merkitys (FIPS PUB 140, ITSEC/ITSEM, CC, )? Sertifikaattien osalta on aina luettava raportit eli selvitettävä, mitä ominaisuuksia tuotteesta on sertifioitu. Esimerkiksi salauskäytäntöjen yksityiskohdat eivät vielä sisälly sertifikaatteihin. Keskeinen ongelma on myös, miten huolehditaan arviointituloksen pätevyydestä kehityksen myötä, nk. jatkuvan turvallisuuden ongelma. Tuotteita valittaessa suositellaan mahdollisuuksien mukaan valittaviksi riittävällä tasolla sertifioituja tuotteita ja mieluimmin sellaisia, joiden lähdekoodi on saatavissa. Tällaisia tuotteita ei salausratkaisujen osalta ole yleisesti saatavilla. (UNIX- ja Linuxympäristöissä kulttuuriin kuuluu toimittaa lähdekoodi, myös kaupallisista tuotteista.) Nämä tuntuvat osittain etäisiltä tavoitteilta ja saatavat johtaa siihen, ettei soveltuvaa tuotetarjontaa synny lähitulevaisuudessa. Olemassa olevilla tuotteilla on mahdollista pienentää riskiä, joka liittyy tietojen luottamuksellisuuden menettämiseen. On toki hyvä nähdä uhkakuvana tuotteiden mahdolliset takaportit. On kuitenkin muistettava, että absoluuttisen turvallisuuden tilaa ei ole olemassa ja aina tulee olemaan uusia uhkakuvia, joita ei ole pystytty huomioimaan. Tuotepuutteista huolimatta viranomaisia kannustetaan suojaamaan kriittisiä tietojaan ja asiointia, nykyistä parempaan turvallisuuteen olisi mahdollisuus jo olemassa olevilla ratkaisuilla. Turvaluokkien huomioon ottaminen Ohjeet eri turvaluokkiin liittyvistä käytännön toimenpiteistä on annettu Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohjeessa, VAHTI 2/2000. Näihin ohjeisiin sisältyy tai voidaan katsoa kuuluvan seuraavat ohjeet salauksen käytöstä eri turvaluokkien yhteydessä: Turvaluokkaan III (luottamuksellinen) kuuluvat ja muut salassa pidettävät tiedot voidaan suojata hyvin eristetyssä ympäristössä pääsyoikeuksien tehokkaalla rajauksella ja turvallisella toteuttamisella. Lisäksi suositellaan näiden tietojen säilyttämis- 12

16 tä salattuina. Hyvin eristetyn ympäristön ulkopuolella tämän tason tiedot on säilytettävä riittävän vahvasti salattuina. Jaettaessa sähköisesti turvaluokkaan III kuuluvia ja muita salassa pidettäviä asiakirjoja on huolehdittava siitä, että asiakirjojen sisältämät tiedot eivät joudu asiattomien haltuun. Tämä voidaan toteuttaa muun muassa riittävän salauksen avulla. Riittävänä salauksena voidaan tässä tapauksessa pitää muun muassa salausohjelmistoa, joka on sertifioitu tai muuten yleisesti hyväksytty. Turvaluokkaan II (salainen) kuuluvat aineistot on säilytettävä työaseman kiintolevyllä, palvelinkoneella ja lisäkiintolevyillä vahvasti salattuna. Salauksessa tulee käyttää vahvoiksi todennettuja tuotteita. Ohjelmistojen osalta tämä edellyttää muun muassa lähdekoodin saatavuutta julkiseen arviointiin. Tällä hetkellä tämän vaatimuksen mukaisia ohjelmistotuotteita ei ole kaupallisesti tarjolla. UNIX- ja Linuxympäristöissä kulttuuriin kuuluu toimittaa lähdekoodi, myös kaupallisista tuotteista. Turvaluokkiin II kuuluvia aineistoja käsiteltäessä on käytettävä käyttäjien vahvaa, toimikorttipohjaista (varmennesiru) tai muuta todentamista. Todentaminen on toteutettava joko sertifioidulla tai muuten vahvaksi todennetulla salausohjelmistolla tai laitteella. Ohjelmistojen osalta vaatimus edellyttää lähdekoodin saatavuutta julkiseen arviointiin. Ainakin lähdekoodin arviointi pitää voida vaatia, mutta julkinen arviointi saattaa käytännössä olla liiallinen vaatimus. Turvaluokkaan II kuuluvien asiakirjojen sähköisessä jakelussa on käytettävä laatuvarmenteisiin perustuvaa, kommunikoivien osapuolten vahvaa ja molemminpuolista todentamista sekä siirrettävien tietojen vahvaa salausta. Käytettävien ohjelmistoja muiden tuotteiden tulee käyttää vahvoiksi todennettuja algoritmeja. Ohjelmistojen osalta tämä edellyttää muun muassa lähdekoodin saatavuutta julkiseen arviointiin. Tällä hetkellä tämän vaatimuksen mukaisia ohjelmistotuotteita ei ole kaupallisesti tarjolla. UNIX- ja Linux-ympäristöissä kulttuuriin kuuluu toimittaa lähdekoodi, myös kaupallisista tuotteista. Turvaluokkaan I (erittäin salainen) kuuluvia asiakirjoja ei saa siirtää sähköisesti (määritelty tarkemmin Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohjeessa ). Tähän turvaluokkaan kuuluvia aineistoja käsiteltäessä on käytettävä käyttäjien vahvaa, toimikorttipohjaista (varmennesiru) tai muuta todentamista. Turvaluokan I aineistot on aina säilytettävä vahvasti salattuina. Vahvassa todentamisessa ja salauksessa on käytettävä joko sertifioituja tai muuten vahvoiksi todennettuja salausohjelmistoja tai laitteita. Ohjelmistojen osalta vaatimus edellyttää lähdekoodin saatavuutta julkiseen arviointiin. 13

17 Koska nykyiset salausohjelmistot eivät täytä II- ja I- turvaluokiteltujen tietojen osalta asetettuja vaatimuksia, näihin luokkiin kuuluvien asiakirjojen käsittely on rajoitettava tehtäväksi erityisesti tätä tarkoitusta varten muusta ympäristöstä eristetyillä laitteilla. Yksittäisillä organisaatioilla on valtionhallinnossa käytössä räätälöityjä ratkaisuja, jotka täyttävät asetetut vaatimukset turvaluokan II osalta. Joissakin organisaatioissa on otettu lisäksi käyttöön 'viranomaiskäyttö' -luokitus, mikä on alin salassa pidettävä luokka. Julkiseen luokkaan kuuluvista ei anneta erityistä suositusta, kuitenkin esimerkiksi eheysvaatimukset koskevat myös julkista aineistoa. 2.5 Sähköinen tunnistus, todentaminen ja allekirjoitus Käyttäjän (tai yleisemmin osapuolen, koska koskee myös palveluja ja palvelimia) vahva todentaminen on kaikkiin PKI-sovelluksiin liittyvä perustoiminto. Vahvassa todentamisessa käytettävä tekniikka on myös sähköisten allekirjoitusten keskeinen perusta. Termejä tunnistaminen ja todentaminen käytetään yleisesti jokseenkin vapaasti ristiin, mutta lienee helpompaa mieltää niiden ero, jos ajatellaan että: Käyttäjä tunnistetaan, käyttäjätunnuksen, pankkitilin numeron tai vaikka henkilötunnuksen avulla. Käyttäjä todennetaan salasanan, kertakäyttösalasanan tai PKI:n mukaisen avainparin avulla. Lähtökohtana käyttäjien luotettavassa todentamisessa voidaan Suomessa pitää toimikorttipohjaista (varmennesiru) todentamista. Tämä ei ole itsestäänselvyys kaikkialla esimerkiksi USA:ssa toimikorttien (varmennesiru) käyttö on vielä vähäistä. Tämä heijastuu suoraan siihen, että monista Yhdysvalloista peräisin olevista PKI -tuotteista puuttuu toimikorttien (varmennesiru) tuki tai se on puutteellinen. Tästä aiheutuu toistaiseksi lisävaivaa toimivien PKI -ympäristöjen rakentamisessa. Koska suuntaus maailmassa näyttää kuitenkin olevan selvästi kohti toimikorttien (varmennesiru) laajenevaa käyttöä, ja koska toimikorttien (varmennesiru) käytöllä päästään todella turvalliseen ratkaisuun, niitä kannattaa käyttää alusta alkaen. Todentamiseen perustuvia muita sovelluksia ovat muun muassa jäljitysketjut ja kiistämättömyys sekä tekijänoikeudet luotetun tekijänoikeusviranomaisen avulla. Salaukseen perustuvan vahvan todentamisen edellytyksiä ovat joko symmetristen menetelmien käyttö tarvittaessa luotetun avainten hallintakeskuksen (TTP, käsitteeseen liittyy paljon muitakin ominaisuuksia ja funktioita) avulla tai yleisimmin julkisen avaimen menetelmien käyttö. Julkisen avaimen menetelmien käyttöä varten tarvitaan hakemistopalvelu, Directory Service sekä varmennepalvelu, CA ja mahdollisesti muita luotettuja kolmansia osapuolia, TTP. 14

18 Luotettavan todentamisen edellytyksenä on PKI niin kuin edellä on todettu. Vahvoissa varmenteissa, (EU-direktiivissä 1999/93/EY ja valmisteilla olevassa laissa sähköisistä allekirjoituksista, laatuvarmenne) on kaksi tärkeätä erityispiirrettä. 1. Varmenteen toimittamisen yhteydessä tehdään ns. vahva tunnistus ja 2. toisaalta varmenteen ns. yksityinen (henkilökohtainen) avain sijoitetaan ainutkertaisesti tietojärjestelmästä fyysisesti irrotettavalle osalle, joka toisaalta on ainoa ympäristö, jossa avainta käytetään (siru, jolla on avain ja sitä käyttävä prosessori). Tämä osa on siru, joka saatetaan liittää toimikorttiin (varmennesiru). Fyysinen irrotettavuus takaa sen, ettei avainta voida saada käyttöön ilman, että se murrettaisiin. Ohjelmalliset avaimet voivat joutua vääriin käsiin ilman, että niitä tarvitsee murtaa. Fyysisesti irrotettava osa on käyttäjän hallussa ja jos hän sen tavalla tai toisella kadottaa, voidaan varmenne välittömästi revokoida eli ilmoittaa sulkulistalle. Käyttäjäkeskeisyyden kannalta on fyysinen token myös ohjelmallisia salasanoihin ja tunnuksiin tukeutuvaa järjestelmää kehittyneempi. Toimikorttia kattavampi käsite on varmennesiru. Ns. ohjelmallisia avaimia (software keys) ei hyväksytä lainkaan vahvaan varmennukseen. 2.6 Tiedonsiirron ja tietojen salauspolitiikka Suomen hallitus on ottanut huomioon OECD:n tiedonsiirron salauspolitiikan yleislinjaukset pitämässään iltakoulussa käsitellyssä valtioneuvoston "Salauspolitiikassa noudatettavat periaatteet" -linjauksessa. Suomen julkishallinnon noudattamat periaatteet on lueteltu tämän raportin taustamateriaalin liitteessä 2: Lähtökohtien kuvaaminen. 2.7 Jatkotoimenpidesuositukset Tämän selvityksen tuloksena ei markkinoilta löytynyt kaupallisia salaustuotteita, jotka perustuisivat avoimeen, arvioitavissa olevaan koodiin tai olisivat asianmukaisesti riittävälle tasolle sertifioituja. Tämän vuoksi markkinoilla oleviin tuotteisiin ei voida kaikissa tapauksissa riittävästi luottaa. Työryhmä ehdottaa, että nyt tehty selvitys tulisi toistaa aika ajoin uusien vaihtoehtojen kartoittamiseksi. Tuotetaulukon mukaan ottamisessa osaksi suositusta on otettu tietoinen riski, sillä toimittajat tuovat markkinoille uusia tuotteita ja tuoteversioita. Suosituksen ylläpitäminen tältä osin voi muodostua kohtuuttomaksi. Toisaalta koostetieto tuotteista on varmasti hyödyllistä. Valtionhallinnon yksiköiden salausteknologioiden tietämyksen ylläpitämiseksi ja kehittämiseksi työryhmä ehdottaa perustettavaksi verkoston, joka muodostuu valtionhallinnon yksiköissä työskentelevistä, salauskäytännöistä yksiköissään vastaavista henkilöistä. Verkoston tehtävänä olisi kerätä ajantasaista tietoa salauskäytännöistä ja sovelluksista ja levittää tietämystä kaikkiin valtionhallinnon yksiköihin. Työryhmän saamissa lausunnoissa on kaivattu yhtenäistä ratkaisua valtionhallinnon salaustuotteeksi. Koska tässä selvityksessä tehdyn tuotekatsauksen perusteella ei pystytty nimeään yksittäistä tuotetta, työryhmä ehdottaa tarjouspyyntökierroksen järjestämistä salaustuotteista. Tuotteiden arvioinnin jälkeen näistä voitaisiin valita yksi tai useampia tuot- 15

19 teita, joita suositeltaisiin käytettäviksi valtion yksiköissä ja joista voitaisiin tehdä puitesopimukset toimittajien kanssa. Salaustuotteita hankittaessa tulee varmistaa, että hankittavat tuotteet ovat luotettavia ja turvallisiksi todettuja. Etusija annetaan ITSEC- ja Common Criteria -sertifioiduille tuotteille. ITSEC-tai Common Criteria -sertifiointi ei itsessään aina ole riittävä kriteeri tuotteen valintaan. CC:n Protection Profile pitää olla tarkoitukseen soveltuva ja toteuttaa vaadittavan arvointitason (EAL). CC:n tuoreuden vuoksi esimerkiksi EAL-vaatimuksen määrittely on tapahduttava kohdekohtaisesti, eikä suinkaan yleistäen. Tuotteiden sertifionti on tuotteen valmistajan tehtävä. Valmistajat ovat motivoituneita sertifioimaan tuotteita vasta, kun sertifioduille tuotteille on kysyntää. Valtion yksiköt voivat edistää sertifiointitoimintaa vaatimalla tarjouspyynnöissään tuotteilta tietoturvallisuuden sertifiointia. 16

20 3 LÄHTÖKOHTIEN KUVAAMINEN 3.1 Lähtökohdat on kuvattu erillisessä taustamateriaalissa 1 Terminologiaa 2 Lähtökohtien kuvaaminen 3 Valtion Internetin käyttö- ja tietoturvallisuussuositus 4 Henkilön sähköinen tunnistaminen 5 Haastattelujen tulosten yhteenveto 6 EU:n sähköisen allekirjoituksen direktiivin tulkinta sekä laatu- ja roolivarmenteet. 7 Verkkojen tietoturva ja älykortit sekä viranomaiset verkossa 8 ITSEC ja CC sertifiointien kriteeristöjen lyhyt esittely 9 Tärkeimpiä standardointiorganisaatioita ja kohteita 17

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, risto.hakala@ficora.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Miten tietoa voidaan suojata? Mitä yksityiskohtia salausratkaisun

Lisätiedot

Salaustekniikat. Kirja sivut: ( )

Salaustekniikat. Kirja sivut: ( ) Salaustekniikat Kirja sivut: 580-582 (647-668) Johdanto Salaus on perinteisesti ollut salakirjoitusta, viestin luottamuksellisuuden suojaamista koodaamalla viesti tavalla, jonka vain vastaanottaja(t) pystyy

Lisätiedot

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, risto.hakala@viestintavirasto.fi Kyberturvallisuuskeskus, Viestintävirasto Sisältö Tiedon suojauksessa käytetyt menetelmät Salausratkaisun arviointi

Lisätiedot

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1 Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten

Lisätiedot

Tietoturvatekniikka Ursula Holmström

Tietoturvatekniikka Ursula Holmström Tietoturvatekniikka Ursula Holmström Tietoturvatekniikka Tietoturvan osa-alueet Muutama esimerkki Miten toteutetaan Eheys Luottamuksellisuus Saatavuus Tietoturvaterminologiaa Luottamuksellisuus Eheys Saatavuus

Lisätiedot

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT Valtiovarainministeriö Hallinnon kehittämisosasto VM 5/01/2000 19.1.2000 Ministeriöille, virastoille ja laitoksille Asia Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu- ja merkintäohje 1

Lisätiedot

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot Ohje 1 (5) Dnro: 11.11.2015 190/651/2015 Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot 1 Johdanto Tässä dokumentissa kuvataan ne kryptografiset vähimmäisvaatimukset,

Lisätiedot

Pikaviestinnän tietoturva

Pikaviestinnän tietoturva Ongelmat, vaihtoehdot ja ratkaisut 4.5.2009 Kandidaatintyö, TKK, tietotekniikka, kevät 2009 Varsinainen työ löytyy osoitteesta http://olli.jarva.fi/kandidaatintyo_ pikaviestinnan_tietoturva.pdf Mitä? Mitä?

Lisätiedot

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Tietoturvan perusteet - Syksy 2005. SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Tietoturvan perusteet - Syksy 2005 SSH salattu yhteys & autentikointi Tekijät: Antti Huhtala & Asko Ikävalko (TP02S) Yleistä SSH-1 vuonna 1995 (by. Tatu Ylönen) Korvaa suojaamattomat yhteydentottotavat

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi

Lisätiedot

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA LIIKENNE- JA VIESTINTÄMINISTERIÖ Muistio Liite 1 Viestintäneuvos 27.10.2015 Kreetta Simola LUONNOS VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA Taustaa Vuoden

Lisätiedot

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti Kuljetus- ja sovelluskerroksen tietoturvaratkaisut Transport Layer Security (TLS) ja Secure Shell (SSH) TLS Internet 1 2 Transport Layer Security (TLS) Sopii monenlaisille sovellusprotokollille, esim HTTP

Lisätiedot

Langattomien verkkojen tietosuojapalvelut

Langattomien verkkojen tietosuojapalvelut Langattomien verkkojen tietosuojapalvelut Sisältö Työn tausta & tavoitteet Käytetty metodiikka Työn lähtökohdat IEEE 802.11 verkkojen tietoturva Keskeiset tulokset Demonstraatiojärjestelmä Oman työn osuus

Lisätiedot

SELVITYS TIETOJEN SUOJAUKSESTA

SELVITYS TIETOJEN SUOJAUKSESTA 1 (5) Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :n mukainen selvitys tietojen SELVITYS TIETOJEN SUOJAUKSESTA Määritelmät Tämä selvitys koskee

Lisätiedot

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement) TeliaSonera CA Asiakkaan vastuut v. 2.0 TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement) Luottavan osapuolen velvollisuudet Varmenteen hakijan ja haltijan velvollisuudet Rekisteröijän

Lisätiedot

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle Ohje 1 (6) Käyttöönottosuunnitelma -kotiorganisaatiolle Ohje 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen

Lisätiedot

Sähköisen tunnistamisen kehittäminen Suomessa

Sähköisen tunnistamisen kehittäminen Suomessa Sähköisen tunnistamisen kehittäminen Suomessa 2008-2009 Kirsi Miettinen Neuvotteleva virkamies, viestintäpolitiikan osasto 1 Askelmerkit 2008-2009 1) Vahvan sähköisen tunnistamisen kansalliset linjaukset

Lisätiedot

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Ohje salauskäytännöistä

Ohje salauskäytännöistä Ohje salauskäytännöistä 11.11.2015 Kimmo Rousku VAHTI Tilaisuuden ohjelma 1/2 2 Tilaisuuden ohjelma 2/2 3 Esityksessäni Miksi salaus on tärkeää? Muuttunut uhkatilanne Salaus on mahdollistaja Ohjeen esittely

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö Tietosisällön eheys Kimmo Janhunen kimmo.janhunen@om.fi Riskienhallintapäällikkö Oikeusrekisterikeskuski k 26.11.2014 Esityksen sisältö Tiedon merkitys - tiedon eheyden merkitys Määritelmät Lainsäädäntö

Lisätiedot

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.

Lisätiedot

Case VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori

Case VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori Case VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori Agenda Sähköpostin turvallisuus Yleiset käyttötapaukset VYVI Turvaposti

Lisätiedot

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen TIETOHALLINTOLAKI (LUONNOS) 13.10.2010 Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen Keskeisenä tavoitteena Toteuttaa eduskunnan 7.12.2009 tekemä päätös, että hallituksen tulisi valmistella

Lisätiedot

Tiedostojen jakaminen turvallisesti

Tiedostojen jakaminen turvallisesti Tiedostojen jakaminen turvallisesti Taustaa Tiedostojen jakaminen sähköisesti (File Sharing) on ollut joissakin organisaatioissa ongelmallista hallita. Jaettaviksi halutut viestit ovat liitetiedostoineen

Lisätiedot

010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva

010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva 010627000 Tietoturvan Perusteet Yksittäisen tietokoneen turva Pekka Jäppinen 31. lokakuuta 2007 Pekka Jäppinen, Lappeenranta University of Technology: 31. lokakuuta 2007 Tietokone Koostuu raudasta ja ohjelmista

Lisätiedot

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy. Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti

Lisätiedot

VIRTU ja tietoturvatasot

VIRTU ja tietoturvatasot 1 VIRTU ja tietoturvatasot VIRTU/HAKA seminaari 3.2.2010 Erja Kinnunen VK/VIP VIPin palvelut Tietoturvallisuuden viitekehys valtionhallinnossa Ei tietoturvallisuutta koskevaa erillislakia Valtioneuvoston

Lisätiedot

Turvallinen etäkäyttö Aaltoyliopistossa

Turvallinen etäkäyttö Aaltoyliopistossa Turvallinen etäkäyttö Aaltoyliopistossa Diplomityöseminaari Ville Pursiainen Aalto-yliopiston tietotekniikkapalvelut Valvoja: Prof Patric Östergård, Ohjaajat: DI Jari Kotomäki, DI Tommi Saranpää 7.10.2016

Lisätiedot

Suorin reitti Virtu-palveluihin

Suorin reitti Virtu-palveluihin Suorin reitti Virtu-palveluihin Haka- ja Virtu-seminaari 9.2.2011 Hannu Kasanen, Secproof Finland Secproof Finland Noin 15 hengen konsultointi- ja asiantuntijapalveluita tarjoava yritys Perustettu vuonna

Lisätiedot

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä? Aloite 08.02.2017 1 (3) VVC VM036:00/2015 Lausunto luonnoksesta valtion riskienhallintopolitiikkamalliksi Yleistä Onko aineistokokonaisuus, jossa on riskienhallinnan järjestämistä koskevia ohjeita,

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa

Lisätiedot

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan 10.12.2015 Hannele Kerola Lainsäädäntöneuvos Pääministeri Juha Sipilän hallituksen strateginen

Lisätiedot

Sähköisen viestinnän tietosuojalain muutos

Sähköisen viestinnän tietosuojalain muutos Sähköisen viestinnän tietosuojalain muutos 24.04.2008 Hallituksen esitys sähköisen viestinnän tietosuojalain muuttamisesta yrityssalaisuudet, luvaton käyttö ja tietoturva 2 Hallitusohjelma hallitus edistää

Lisätiedot

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT TITAN projektissa koottiin

Lisätiedot

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä 25.10.2016 m/s Silja Serenade Insevl Pekka Ylitalo Nimi Työ Osasto Roadmap since 90's Mikä on yritysturvallisuusselvitys Uudistetun turvallisuusselvityslain

Lisätiedot

Kansallinen palveluarkkitehtuuri digitalisoituvan yhteiskunnan selkärankana

Kansallinen palveluarkkitehtuuri digitalisoituvan yhteiskunnan selkärankana Kansallinen palveluarkkitehtuuri digitalisoituvan yhteiskunnan selkärankana Julkisen hallinnon ICT-toiminto Yksikön päällikkö Riku Jylhänkangas 20.5.2014 Taloudellinen tilanne synkkä Miksi? Osaaminen on

Lisätiedot

JHS Avoimen tietoaineiston käyttölupa

JHS Avoimen tietoaineiston käyttölupa JHS Avoimen tietoaineiston käyttölupa Anne Kauhanen-Simanainen ja Marjut Salokannel Esittely julkisen hallinnon tietohallinnon neuvottelukunnalle (JUHTA) 11.12.2014 Valtioneuvoston periaatepäätös (3.3.2011)

Lisätiedot

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela Kokonaisarkkitehtuuri julkisessa hallinnossa ICT muutostukiseminaari 8.10.2014 neuvotteleva virkamies Jari Kallela Sisältö Miksi kokonaisarkkitehtuuria tarvitaan julkisessa hallinnossa? Mitä tuloksia kokonaisarkkitehtuurista

Lisätiedot

Hankkeet ja yhteentoimivuus. OKM:n kirjastopäivät Minna Karvonen

Hankkeet ja yhteentoimivuus. OKM:n kirjastopäivät Minna Karvonen Hankkeet ja yhteentoimivuus OKM:n kirjastopäivät 2012 Minna Karvonen 12.12.2012 Hallitusohjelman kirjaukset Yhteentoimivuus: kansallista perustaa Kirjastoja kehitetään vastaamaan tietoyhteiskunnan haasteisiin.

Lisätiedot

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely Valtiovarainministeriö TUVE-hanke 03/2012 TUVE - esityksen sisältö 1. Mitä hallinnon turvallisuusverkolla tarkoitetaan

Lisätiedot

eresepti- ja KANTA-hankkeissa

eresepti- ja KANTA-hankkeissa Tietoturvallisuus ja yksityisyydensuoja 1 eresepti- ja KANTA-hankkeissa Teemupekka Virtanen Sosiaali- ja terveysministeriö teemupekka.virtanen@stm.fi 2 Käsitteitä Tietosuoja, yksityisyyden suoja Periaatteessa

Lisätiedot

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta. Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen

Lisätiedot

Hankintamenettelyjä koskevat uudistukset ja hankintojen sähköistäminen

Hankintamenettelyjä koskevat uudistukset ja hankintojen sähköistäminen Hankintamenettelyjä koskevat uudistukset ja hankintojen sähköistäminen Uusiutuva hankintalaki seminaari 18.5.2015 Hankinta-asiantuntija Marko Rossi Sähköiset viestintävälineet Sähköisestä viestinnästä

Lisätiedot

Langattomat lähiverkot. Matti Puska

Langattomat lähiverkot. Matti Puska Langattomat lähiverkot 1 FWL 2 FWL Salaus Radioaaltojen etenemistä ei voida rajoittaa vain halutulle alueelle. Liikenteen salauksen tavoitteena on turvata radiotiellä siirrettävien sanomien ja datan yksityisyys

Lisätiedot

Salaustekniikat. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010

Salaustekniikat. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 Salaustekniikat Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2010 1. Kryptografia Luennon sisältö 2. Salattu webbiyhteys 2 KRYPTOGRAFIA 3 Symmetrinen salakirjoitus Selväkielinen sanoma M Avain

Lisätiedot

JHS 156 suosituksen päivitys

JHS 156 suosituksen päivitys JHS 156 suosituksen päivitys Mikael Himanka, Avain Technologies Oy Sisältö Suosituksen aikataulu Päivityksen taustat Suosituksen tavoitteet Suosituksen avulla saavutettavat edut Suosituksen menetelmät

Lisätiedot

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Kyberturvallisuus toiminta Valtio Kyberturvallisuuden poliittinen ohjaus kuuluu valtioneuvostolle,

Lisätiedot

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto 3.5.2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Lain tavoitteena on luoda toimivalta ja ohjausmalli,

Lisätiedot

Teollisuus-, tutkimus- ja energiavaliokunta

Teollisuus-, tutkimus- ja energiavaliokunta EUROOPAN PARLAMENTTI 2009-2014 Teollisuus-, tutkimus- ja energiavaliokunta 2008/0255(COD) 3.2.2010 TARKISTUKSET 4-9 Lausuntoluonnos Jorgo Chatzimarkakis (PE430.863v01-00) ihmisille ja eläimille tarkoitettuja

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 10. Luento Tietotekninen turvallisuus

Lisätiedot

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu Turvallisuus prosessien suunnittelussa ja käyttöönotossa Moduuli 2 Turvallisuus prosessilaitoksen suunnittelussa 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu

Lisätiedot

FINANSSIVALVONNAN MÄÄRÄYS- JA OHJEKOKOELMAN UUDISTAMINEN

FINANSSIVALVONNAN MÄÄRÄYS- JA OHJEKOKOELMAN UUDISTAMINEN 11.11.2011 1 (6) Finanssivalvonnalle Lausuntopyyntö 7.10.2011, Dnro 10/2011 FINANSSIVALVONNAN MÄÄRÄYS- JA OHJEKOKOELMAN UUDISTAMINEN Finanssivalvonta (FIVA) on pyytänyt lausuntoa Finanssialan Keskusliitolta

Lisätiedot

Sosiaali- ja terveysministeriön asetus

Sosiaali- ja terveysministeriön asetus Luonnos 22.4.2016 Sosiaali- ja terveysministeriön asetus ihmisen elimien, kudoksien ja solujen lääketieteellisestä käytöstä annetun sosiaalija terveysministeriön asetuksen muuttamisesta Sosiaali- ja terveysministeriön

Lisätiedot

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai 6.3.2003 Jari.Pirhonen@atbusiness.com Senior Consultant, CISSP, CISA AtBusiness Communications Oyj www.atbusiness.com Copyright 2003 AtBusiness

Lisätiedot

Hankintalakiuudistus. Finsipro Seminaari 9.2.2016 Vanhempi hallitussihteeri Markus Ukkola, TEM

Hankintalakiuudistus. Finsipro Seminaari 9.2.2016 Vanhempi hallitussihteeri Markus Ukkola, TEM Hankintalakiuudistus Finsipro Seminaari 9.2.2016 Vanhempi hallitussihteeri Markus Ukkola, TEM 1 Taustaa Komissio antoi joulukuussa 2011 ehdotukset uusiksi julkisia hankintoja koskeviksi direktiiveiksi

Lisätiedot

MAANMITTAUSLAITOKSEN LAUSUNTO HALLITUKSEN ESITYKSESTÄ LAIKSI HALLINNON YHTEISISTÄ SÄHKÖISEN ASIOINNIN TUKIPALVELUISTA

MAANMITTAUSLAITOKSEN LAUSUNTO HALLITUKSEN ESITYKSESTÄ LAIKSI HALLINNON YHTEISISTÄ SÄHKÖISEN ASIOINNIN TUKIPALVELUISTA 1 (6) Valtiovarainministeriö valtiovarainministeriö@vm.fi Valtiovarainministeriön lausuntopyyntö 26.11.2015 / VM140:06/2013 MAANMITTAUSLAITOKSEN LAUSUNTO HALLITUKSEN ESITYKSESTÄ LAIKSI HALLINNON YHTEISISTÄ

Lisätiedot

Ehdotus NEUVOSTON DIREKTIIVI

Ehdotus NEUVOSTON DIREKTIIVI EUROOPAN KOMISSIO Bryssel 5.2.2013 COM(2013) 46 final 2013/0026 (NLE) Ehdotus NEUVOSTON DIREKTIIVI Euroopan parlamentin ja neuvoston direktiivin 98/8/EY muuttamisesta jauhetun maissintähkän lisäämiseksi

Lisätiedot

Tietoturvan Perusteet : Tiedon suojaaminen

Tietoturvan Perusteet : Tiedon suojaaminen 010627000 Tietoturvan Perusteet : Tiedon suojaaminen Pekka Jäppinen September 26, 2007 Pekka Jäppinen, Lappeenranta University of Technology: September 26, 2007 Suojausmenetelmät Tiedon Salaaminen (kryptografia)

Lisätiedot

NCSA-FI:n hyväksymät salausratkaisut

NCSA-FI:n hyväksymät salausratkaisut 1 (13) 20.12.2013 NCSA-FI:n hyväksymät salausratkaisut NCSA-FI:n kansainvälisiin tietoturvavelvoitteisiin liittyviin tehtäviin kuuluu salaustuotteiden hyväksyntä kansainvälisen turvallisuusluokitellun

Lisätiedot

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Standardisarja IEC 62443. Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Standardisarja IEC 62443 Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus Matti Sundquist, Sundcon Oy Jukka Alve, SESKO ry 1 ASAFin tietoturvaseminaari 27.1.2004 Automaatioseuran

Lisätiedot

Vihreät hankinnat ja hankintalaki. Kommenttipuheenvuoro, Vihreät hankinnat seminaari Jukka Koivusalo Hankintalakimies Espoon kaupunki

Vihreät hankinnat ja hankintalaki. Kommenttipuheenvuoro, Vihreät hankinnat seminaari Jukka Koivusalo Hankintalakimies Espoon kaupunki Vihreät hankinnat ja hankintalaki Kommenttipuheenvuoro, Vihreät hankinnat seminaari 18.01.2010 Jukka Koivusalo Hankintalakimies Espoon kaupunki Yleisiä lähtökohtia Hankintalaki perustuu pitkälti EU-lainsäädäntöön,

Lisätiedot

Toiminnallinen turvallisuus

Toiminnallinen turvallisuus Toiminnallinen turvallisuus Mitä uutta standardeissa IEC 61508 Tekn.lis. Matti Sundquist, Sundcon Oy www.sundcon.fi matti.sundquist@sundcon.fi Mitä uutta standardeissa IEC 61508-1 ja -4? IEC 61508-1 (yleistä):

Lisätiedot

Uutisjärjestelmä. Vaatimusmäärittely. Web-palvelujen kehittäminen. Versio 1.3

Uutisjärjestelmä. Vaatimusmäärittely. Web-palvelujen kehittäminen. Versio 1.3 Uutisjärjestelmä Vaatimusmäärittely Versio 1.3 Sisällys 1 Muutoshistoria... 4 2 Viitteet... 4 3 Sanasto... 4 3.1 Lyhenteet... 4 3.2 Määritelmät... 4 4 Johdanto...5 4.1 Järjestelmän yleiskuvaus... 5 4.2

Lisätiedot

Sisämarkkina- ja kuluttajansuojavaliokunta LAUSUNTOLUONNOS. teollisuus-, tutkimus- ja energiavaliokunnalle

Sisämarkkina- ja kuluttajansuojavaliokunta LAUSUNTOLUONNOS. teollisuus-, tutkimus- ja energiavaliokunnalle EUROOPAN PARLAMENTTI 2009-2014 Sisämarkkina- ja kuluttajansuojavaliokunta 30.5.2012 2011/0430(COD) LAUSUNTOLUONNOS sisämarkkina- ja kuluttajansuojavaliokunnalta teollisuus-, tutkimus- ja energiavaliokunnalle

Lisätiedot

VBE II Tulosseminaari Teknologian valmiusaste. Virtuaalirakentamisen Laboratorio Jiri Hietanen

VBE II Tulosseminaari Teknologian valmiusaste. Virtuaalirakentamisen Laboratorio Jiri Hietanen VBE II Tulosseminaari Teknologian valmiusaste 1 2 Sisältö Tietomalleihin perustuva järjestelmä Järjestelmän osien valmiusaste Rakennuksen tietomallien tuottaminen Rakennuksen tietomalleihin perustuvat

Lisätiedot

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014 Suunnitelma Valtiovarainministeriö/Julkisen hallinnon ICT - toiminto/vaatimukset ja suositukset JHKA-sihteeristö 22.1.2014 Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014 Julkisen hallinnon

Lisätiedot

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä? Huoltovarmuuskeskuksen 10-vuotisjuhlaseminaari Helsinki, 26.2.2003 Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä? TkT Arto Karila Karila A. & E. Oy E-mail: arto.karila@karila.com HVK, 26.2.2003-1

Lisätiedot

Salasanojen turvallinen tallentaminen KeePass ohjelmalla

Salasanojen turvallinen tallentaminen KeePass ohjelmalla Salasanojen turvallinen tallentaminen KeePass ohjelmalla KeePass on vapaasti saatavilla oleva, avoimen lähdekoodin ohjelma, jonka tarkoituksena on auttaa salasanojen hallinnassa. Tämä KeePass ohje on päivitetty

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 8. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

Lausuntopalvelu.fi valtion virastojen lausuntomenettelyn työkaluna

Lausuntopalvelu.fi valtion virastojen lausuntomenettelyn työkaluna Lausuntopalvelu.fi valtion virastojen lausuntomenettelyn työkaluna Avoimen hallinnon virkamiesverkoston tilaisuus 13.10.2016 Liisa Männistö Oikeusministeriö, Demokratia-, kieli- ja perusoikeusasioiden

Lisätiedot

Vahva vs heikko tunnistaminen

Vahva vs heikko tunnistaminen Vahva vs heikko tunnistaminen Valtorin tietoturvaseminaari 2.4.2014 Tommi Simula Johtava asiantuntija, CISM, CISSP, GSEC, MCSE Valtori / Tietoturvapalvelut Mitä tunnistaminen on? Tunnistaa todeta itselleen

Lisätiedot

Valtionhallinnon salauskäytäntöjen tietoturvaohje

Valtionhallinnon salauskäytäntöjen tietoturvaohje VALTIOVARAINMINISTERIÖ JulkICT-toiminto LAUSUNTOVERSIO 21.4.2015 Valtionhallinnon salauskäytäntöjen tietoturvaohje Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä LUONNOS x/2015 JulkICT-toiminto

Lisätiedot

Avoin lähdekoodi hankinnoissa Juha Yrjölä

Avoin lähdekoodi hankinnoissa Juha Yrjölä Avoin lähdekoodi hankinnoissa 9.6.2016 Juha Yrjölä Mitä on avoin lähdekoodi? 1. Lähdekoodi tulee jakaa ohjelmiston mukana tai antaa saataville joko ilmaiseksi tai korkeintaan luovuttamiskulujen hinnalla.

Lisätiedot

Kieku-tietojärjestelmä Työasemavaatimukset

Kieku-tietojärjestelmä Työasemavaatimukset Valtiokonttori Kieku-toimiala Ohje 18.5.2015 Kieku-tietojärjestelmä Työasemavaatimukset Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.00 15.2.2012 Eero Haukilampi

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

AVOIN DATA AVAIN UUTEEN Seminaarin avaus Kansleri Ilkka Niiniluoto Helsingin yliopisto

AVOIN DATA AVAIN UUTEEN Seminaarin avaus Kansleri Ilkka Niiniluoto Helsingin yliopisto AVOIN DATA AVAIN UUTEEN Seminaarin avaus 1.11.11 Kansleri Ilkka Niiniluoto Helsingin yliopisto TIETEELLINEN TIETO tieteellinen tieto on julkista tieteen itseäänkorjaavuus ja edistyvyys tieto syntyy tutkimuksen

Lisätiedot

Käyttöehdot, videokoulutukset

Käyttöehdot, videokoulutukset Käyttöehdot, videokoulutukset Edita Publishing Oy PL 700, 00043 NORDIC MORNING www.editapublishing.fi Asiakaspalvelu www.edilexpro.fi edilexpro@edita.fi puh. 020 450 2040 (arkisin klo 9 16) 1 Yleistä Tämä

Lisätiedot

Tekniset vaatimukset Tikon 6.4.1

Tekniset vaatimukset Tikon 6.4.1 Marraskuu 2014 1 (22) Tekniset vaatimukset Marraskuu 2014 2 (22) 1 Ohjelmapalvelin... 6 1.1 Ohjelmat... 6 1.1.1 Tuetut käyttöjärjestelmät... 6 1.1.2 Muut tarvittavat ohjelmat... 6 1.2 Palvelin (Suositus

Lisätiedot

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus NEUVOSTON ASETUS

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus NEUVOSTON ASETUS EUROOPAN YHTEISÖJEN KOMISSIO Bryssel 28.5.2008 KOM(2008) 336 lopullinen 2008/0108 (CNS) Ehdotus NEUVOSTON ASETUS maatalouden yhteisestä markkinajärjestelystä annetun asetuksen (EY) N:o 1234/2007 muuttamisesta

Lisätiedot

Yhteinen tiedon hallinta -kärkihanke vauhtiin!

Yhteinen tiedon hallinta -kärkihanke vauhtiin! Yhteinen tiedon hallinta -kärkihanke vauhtiin! 14.11.2016 Yhteinen tiedon hallinta -hanke vauhtiin! -seminaari Digitalisoidaan julkiset palvelut / Yhteinen tiedon hallinta (YTI) -hanke 1990-luku 2000 Tekniikka

Lisätiedot

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat Datan avaamisen reunaehdot Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat 19.1.2016 Perinteinen manuaalinen tietopalvelu 1. Asiakas kysyy/pyytää asiakirjoja käyttöönsä/ kopioita omaan

Lisätiedot

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen) Valtiokonttori Kieku-toimiala Ohje Mikko 18.4.2016 Kieku-tietojärjestelmä Työasemavaatimukset 1 (5) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.5 12.2.2014 Mikko

Lisätiedot

Tehtävä, visio, arvot ja strategiset tavoitteet

Tehtävä, visio, arvot ja strategiset tavoitteet Tehtävä, visio, arvot ja strategiset tavoitteet Tehtävä Euroopan tilintarkastustuomioistuin on Euroopan unionin toimielin, joka perussopimuksen mukaan perustettiin huolehtimaan unionin varojen tarkastamisesta.

Lisätiedot

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?

Lisätiedot

Virkamiehen asiointikortti. Tietoyhteiskunnan luotettava palvelukeskus

Virkamiehen asiointikortti. Tietoyhteiskunnan luotettava palvelukeskus Virkamiehen asiointikortti Esityksen sisältö: VRK:n Varmennepalvelut Toimikortit/Virkakortit Korttien tilaaminen Toimikortin käyttö Ongelmatilanteet Varmennepalvelut Kansalaisvarmenne Organisaatiovarmenne

Lisätiedot

TIES530 TIES530. Moniprosessorijärjestelmät. Moniprosessorijärjestelmät. Miksi moniprosessorijärjestelmä?

TIES530 TIES530. Moniprosessorijärjestelmät. Moniprosessorijärjestelmät. Miksi moniprosessorijärjestelmä? Miksi moniprosessorijärjestelmä? Laskentaa voidaan hajauttaa useammille prosessoreille nopeuden, modulaarisuuden ja luotettavuuden vaatimuksesta tai hajauttaminen voi helpottaa ohjelmointia. Voi olla järkevää

Lisätiedot

Riippumattomat arviointilaitokset

Riippumattomat arviointilaitokset Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä

Lisätiedot

Arkkitehtuurinäkökulma

Arkkitehtuurinäkökulma Sähköisen arkistoinnin haasteet Arkkitehtuurinäkökulma JHS-seminaari 14.11.2006, Satakuntatalo Aki Siponen Valtiovarainministeriö Valtion IT-toiminnan johtamisyksikkö Sähköisen arkistoinnin haasteet Arkkitehtuurinäkökulma

Lisätiedot

TOIMITUSSOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTELMÄSTÄ

TOIMITUSSOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTELMÄSTÄ TOIMITUSSOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTELMÄSTÄ Liite TS2.4 Migraatiovaatimukset 1/10 VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 12.3.15 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2/10 SISÄLLYS

Lisätiedot

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö Verkkokonsulttipäivä 28.11.2011 Maarit Pirttijärvi j Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö www.sosiaalijaterveyspalvelut.fi Virtuaalisen sosiaali- ja terveyspalvelukeskuksen käyttäjät

Lisätiedot

Yhteinen tiedon hallinta -kärkihanke

Yhteinen tiedon hallinta -kärkihanke Yhteinen tiedon hallinta -kärkihanke Yleisesitys Digitalisoidaan julkiset palvelut / Yhteinen tiedon hallinta (YTI) -hanke Tavoitteena yhä paremmat ja tehokkaammat palvelut vaikka keinot ja ympäristö muuttuvat

Lisätiedot

Mtech Digital Solutions Oy Minun Maatilani - ohjelmiston palvelusopimus

Mtech Digital Solutions Oy Minun Maatilani - ohjelmiston palvelusopimus Minun Maatilani ohjelmiston palvelusopimus 23.12.2015 Page 1 of 5 Mtech Digital Solutions Oy Minun Maatilani - ohjelmiston palvelusopimus Sisältö Tämä asiakirja on oikeudellisesti sitova sopimus asiakkaan

Lisätiedot

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI TIETOSUOJAVALTUUTETUN TOIMISTO MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI Päivitetty 27.07.2010 www.tietosuoja.fi 2 Malli henkilötietojen käsittelyn/henkilörekisterin

Lisätiedot

Interfacing Product Data Management System

Interfacing Product Data Management System Interfacing Product Data Management System Tekijä: Työn valvoja: Mats Kuivalainen Timo Korhonen Esitelmän sisältö Työn suorituspaikka - Ideal Product Data Oy Käsitteitä Työn tavoitteet Työn tulokset 1/5

Lisätiedot

JHS-järjestelmä ja yhteentoimivuus

JHS-järjestelmä ja yhteentoimivuus JHS-järjestelmä ja yhteentoimivuus JHS-seminaari 5.4.2005 Säätytalo Tommi Karttaavi, JUHTA JUHTA Asetettu valtionhallinnon ja kunnallishallinnon tietohallintoyhteistyön suunnittelua ja tietohallintoyhteistyöhön

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille 15.3.2016 Kimmo Rousku VAHTI Tilaisuuden ohjelma 2 Tervetuloa! Yksikön päällikkö, VAHTIn puheenjohtaja Aku Hilve

Lisätiedot