Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Transkriptio

1 Sähköiseen säilytykseen liittyvät organisaation auditoinnit Arto Kangas, auditoija & konsultti Netum konsultointi Oy Torstai Arto Kangas, SÄHKE-Expo 1

2 Arto Kangas Koulutus: Kauppatieteiden kandidaatti (KTK), YVTS, VTS, MKT Työhistoria: 2/2010 alk. Konsultti ja tietoturvapäällikkö, Netum ja Netum konsultointi - Turvallisuuden, tietoturvallisuuden, riskienhallinnan, jatkuvuussuunnittelun sekä ICT-arkkitehtuurin konsultointi, kehittäminen ja koulutus - Tietoturvatasot (TTT) auditoinnit, KATAKRI II auditoinnit, SÄHKE2 auditoinnit, muut turvallisuus- ja riskikartoitukset sekä arvioinnit Tutkija, Aalto-yliopiston kauppakorkeakoulu - Markkinoinnin laitos, Verkostoitunut liiketoiminta, SecLi-, ValueSSe- ja SecNet-hankkeet Senior Consultant, Secproof Finland, turvallisuus, tietoturvallisuus ja riskienhallinta Sales Manager, Logica Suomi, Finanssi-palvelut, henki- ja vahinkovakuutusyhtiöt Koordinointipäällikkö, Suomen Vakuutusdata, vakuutusalan tietoturva ja tiedonsiirto, tietoturvapäällikkö (oto), yrityksen johtoryhmän jäsen, VAKES tietoturvatyöryhmä useita tehtäviä Elisa-konsernissa tietoturvallisuuden parissa, mm. vanhempi tietoturvakonsultti, osastopäällikkö, tietoturvapäällikkö (oto), tuotepäällikkö useita tehtäviä Soneran palveluksessa, tuotepäällikkö sekä asiantuntijatehtäviä 1997 Internet tuki, EUnet Finland Maksuliikenneasiantuntija, Nordea Pankki Postivirkailija, Suomen Posti Luottamustoimet: 2012 alk. Finnsecurity ry hallituksen jäsen, yritysjaoston vetäjä 2009 alk. Finnsecurity ry, työvaliokuntien jäsen (yritysjaosto 2009 alk. ja tietoturvajaosto ) Finnsecurity ry hallituksen jäsen, tietoturvajaoston perustaja ja vetäjä ATK-instituutti säätiön edustajiston jäsen 2006 Tietotekniikan liitto ry hallituksen jäsen Tietoturva ry hallituksen jäsen (hallituksen puheenjohtaja vuodet 2003 ja 2004) Arto Kangas, SÄHKE-Expo 2

3 Tietotekniikan merkitys ja rooli kasvaa jatkuvasti! Lähde: Talouselämä

4 SÄHKE2-auditointi ja tietoturvatasot auditointi (TTT, VAHTI 2/2010) Tietoturvatasojen taustalla tietoturva-asetus (681/2010) Vähintään perustaso saavutettava Valtion IT-palvelukeskuksen (VIP) menetelmä ja viitekehys Ei tarvita, jos on SÄHKE2 sertifikaatti Lupahakemus (perustietolomake) 1. Sähköisen säilyttämisen itsearviointilomake (org.täytt) 2. Todist. Hyväksytystä TTTauditoinnista 3. Raportti suoritetusta SÄHKE2 sovellusauditoinnista 4. Raportti suoritetusta SÄHKE2-toiminta-auditoinnista TTT-auditointi (VAHTI 2/2010, TTA 681/2010) Organisaatio ICT Todistus: TTTperustasosta Operatiivinen tietojärj. Säilytysjärj Arto Kangas, SÄHKE-Expo 4

5 Tietoturvatasojen mukaan edellytetään (ja tämä edellytys myös SÄHKE2-auditointiin) Lähde: Valtiokonttori / VIP Tietoturvatasojen vaatimukset Tekijöitä on ja johtajakin Roolit olemassa Tehtävät määritelty Vastuut sovittu Toimintavaltuudet olemassa Palvelut tunnistettu Palvelut kuvattu Toimintaympäristö kuvattu Prosessit tunnistettu Prosessit kuvattu Prosessien yhteydet toimivat Tietoturvallisuus liitetty prosesseihin Arto Kangas, SÄHKE-Expo 5

6 Vaatimukset organisaation tietoturvallisuuden hallinnalle CAF = Common Assessment Framework, julkisen sektorin organisaatioiden laadunarviointimalli Lähteet: ori.fi Arto Kangas, SÄHKE-Expo 6

7 Vaatimuskorttien havaintoesimerkki (yleiskuvaus) Vaatimukset esim. ICT-järjestelmien hallinnalle Arto Kangas, SÄHKE-Expo 7

8 Organisaation toimet ja selvitettävät asiat ennen SÄHKE2-auditointia SÄHKE2-vaatimukset (määräykset, Auditoinnin prosessi ja mitä siihen liittyy Auditoinnin tavoite eli se, miksi auditointi suoritetaan Tarvittava dokumentaatio siitä kuinka tietoturva on toteutettu Käytännössä auditoinnin tavoite ei ole vain testata, että täyttääkö järjestelmä vaatimukset vain nyt, vaan miten varmistetaan tietojen käytettävyys myös tulevaisuudessa ja se, miten voidaan varmistua tietojen säilyvyydestä pitkänkin ajan kuluessa arvioidaan vaatimustenmukaisuutta Arto Kangas, SÄHKE-Expo 8

9 Sudenkuoppia Puutteelliset kuvaukset ja ympäristön dokumentointi Varsinaisista vaatimuksista poikkeavat menettelytavat Poikkeavat tai muutoin tavanomaisesta eroavat käsitteet ja termistöt Käyttövaltuuksien ja oikeuksien hallitsematon toteutus (vrt. ei myöskään kaiken varalta liian isoja valtuuksia käyttäjille) Testaamisen puute Arto Kangas, SÄHKE-Expo 9

10 Kiitos ja kysymykset Arto Kangas, SÄHKE-Expo 10