Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku

Transkriptio

1 Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku Ryhmäpäällikkö, tietoturvapäällikkö Valtion IT-palvelukeskus VIP tietoturvapalvelut

2 Esitykseni pääkohtia ovat mm. Lähtötasokysely Miksi tietoturvallisuus on niin hel**tin vaikeaa? Keppiä ja porkkanaa Mitä uutta tietoturva-asetus tuo mukanaan? Tietoaineistojen luokittelusta Miten tietoturvatasot ja tietoturva-asetus liittyvät toisiinsa? Millaista ohjeistusta ja apua on saatavissa? Miten VIPin tietoturvapalvelut voivat auttaa? Kotitehtävän antaminen Lisää keskustelua aiheesta 2

3 Lähtötasokysely mitä me tiedämme? Käytämme George Horace Gallupin kehittelemistä menetelmistä johdettua tapaa ensin 7 ja sitten 9 kysymystä ja nostatte tassua, jos olette samaa mieltä olkaa rehellisiä, kiitos! Emme valokuvaa tai videoi vastauksianne ja niitä ei tulla käyttämään missään muussa yhteydessä. 3

4 Lähtötasokysely - tietoaineistot 1. Osaan erottaa työtehtävissäni julkisen tietoaineiston salassa pidettävästä tietoaineistosta? 2. Jos aineisto on luokiteltava, osaan sijoittaa eli luokitella sen olemassa olevan tietoaineistojen luokitteluvaatimusten mukaan oikeaan luokkaan? 3. Organisaatiossamme on kirjalliset ohjeet tietoaineistojen elinkaarenhallinnan mukaiseen toimintaan. 4. Nämä kirjalliset ohjeet on koulutettu henkilöstölle. 5. Henkilöstö sinä mukaan lukien, toimit näiden ohjeiden mukaisesti. 6. Käsittelen säännöllisesti ST II- tai ST I-luokan tietoaineistoja 7. Käsittelen säännöllisesti turvaluokiteltuja tietoaineistoja 4

5 Lähtötasokysely - tietoturvallisuus 1. Kotonamme on koira. 2. Koiramme toimii vahtikoirana. 3. Asuntoni pihalla on schäfereitä, saksan paimenkoiria ja muita verikoiria valvomassa ja suojaamassa. 4. Asuntoni suojana on miinakenttä. 5. Kotonani on jonkinlainen varashälytin. 6. Kotonani on sähköaita. 7. Olen lukenut organisaationi tietoturvaohjeet. 8. Olen ymmärtänyt ne ja sisäistänyt niiden merkityksen. 9. Noudatan kuuliaisesti em. ohjeita. 5

6 Tilaisuus, Esittäjä 6

7 Kultaiset säännöt Käytä talonpoikaisjärkeä. Älä hölmöile - Erityisesti netissä Ja ennen kaikkea sosiaalisessa media Naisilla on pitkä muisti. Norsulla on vielä pidempi. Netti ei unohda koskaan mitään. 7

8 Mihin tämä pahimmillaan johtaa? Koska tietoturvallisuus koetaan ongelmalliseksi, yritetään sitä ratkaista teknologialla. Hankitaan kaikki mahdolliset hilavitkuttimet ja venäläiset takapuolen päristimet suojaamaan meidän kruunun jalokiviä = tietojamme. Ajatellaan, että nyt se tietoturvallisuus on kunnossa. Suomessa tekninen tietoturvallisuus on pääsääntöisesti hoidettu hyvin, koska se voidaan ostaa rahalla. - Ei koske valitettavasti kaikkia esimerkiksi ulkoisissa käyttöpalveluissa sijaitsevia palveluita Tekninen tietoturvallisuus on vain toinen osa, hallinnollinen tietoturvallisuus on se tärkeämpi ja ongelmallisempi. Sitä ei voi laittaa kuntoon rahalla. Tietoturvallisuuden pitäisi olla ennen kaikkea asennetta ja kulttuuria sekä osa organisaation kaikkia prosesseja. 8

9 Miksi tietoturvallisuus on niin hankalaa? TOP viisi tietoturvallisuutta haittaavat tekijät lähdeaineistona keskustelut kollegoiden kanssa 1. Tietoturvallisuutta EI ole viety organisaation prosessien osaksi Mikäli tietoturvallisuus on ERIKSEEN mietittävä osa-alue, se ei tule koskaan toimimaan saumattomasti 2. Tietoturvallisuus EI ole muodostunut asenteeksi - Esimerkiksi käyttäjien holtiton nettikäyttäytyminen 3. Tietoturvallisuutta EI nähdä LAATUTEKIJÄNÄ - Tietoturvallisuus = LAATUA! 4. Riskienhallinta EI ole a) toiminnassa ja/tai b) säännönmukaista, vuosikellon mukaista toimintaa 5. Järjestelmien turvallisuutta ja toimittajaa EI auditoida säännöllisesti pääsee syntymään piiloriskejä

10 Asennekasvatusta!

11 Riskien arviointi - keskeinen osa TTA ja TTT Jos riskien arviointi ei ole kunnossa, miten tietoturvallisuus voidaan mitoittaa kun mittarit puuttuvat? Tietoturvallisuus pitää olla kunnossa, koska riskit saattavat toteutua (voiko tähän Hakaniemeen rantautua suuri määrä valaita, joka aiheuttaa sellaisia ongelmia, joita emme voi nyt ennakoida? Voiko tulivuorenpurkaus Islannissa sekoittaa Euroopan lentoliikenteen?) Jos tietoturvallisuus on kuitenkin liian tiukka, heikentää se järjestelmien käytettävyyttä ja helppokäyttöisyyttä keskeinen osa luottamuksellisuus eheys saatavuus -ohella Tällöin organisaation suurin riski ei ole välttämättä ulkopuoliset tietomurtautujat, vaan organisaation oma tietohallinto ja tietoturvaorganisaatio! (Tehdään itse palvelunestohyökkäys organisaation omaa toimintaa vastaan ) Käytettävyys Riskien arviointi Tietoturvallisuus

12 Unohdetaan tietoturva!

13 Erilainen näkymä - Onko organisaatiosi hallinnollinen tietoturvallisuus millä tasolla? Perus - Pientä tulipaloa pukkaa prosessit ovat oikeaan suuntaan menossa (käytämme sanaa prosessi) - Homma ei toimi aina samalla tavalla Yksittäiset gurut ( Make tai Maija saavat asian näyttämään paremmalta kuin se on Korotettu - Meillä suunnitellaan asioita ja laiva on kurssissa määritelty ja dokumentoitu toiminta Elinkaarenhallinta sitä on! Yksi tehtävä ja monta tekijää = lopputulos on vakioitu Tietoturvallisuus on asenne! Korkea tiedämme myös miten lujaa me mennään ja mihin suuntaan - Me ohjaamme meitä ei ohjata! - Ei jämähdetä paikalle haetaan uusia toimintamalleja - Mittaamme ja vertaamme - Asenne ja resurssit ovat tasapainossa sekä resursseja käytetään järkevästi

14 Tekninen tietoturvallisuus IDS, IPS, PKI, apumuistien hallinta, terveystarkastukset Salaaminen *.*, prosessit, KVH, valvontakamerat HOTO, palomuurit, kulunvalvonta, kulkukortit

15 Kumpi teillä on paremmin? A) Hallinnollinen tietoturvallisuus? B) Tekninen tietoturvallisuus? Miksi tekninen? Suomessa on perinteisesti totuttu siihen, että rautaa rajalle eli tietoturvallisuutta voidaan ostaa rahalla. Tosin tämä saattaa antaa virheellisen kuvan siitä, että tietoturvallisuus on kunnossa, koska niin paljon on investoitu tekniikkaan. Jos teknisen järjestelmän käyttöönotto vie 10 htp, saattaa jonkin ison organisaation koko toimintaan vaikuttavan toimintaprosessin juurruttamiseen kulua koko ihmisikä (eikä aina riitä), tai ainakin useita vuosia. Tämän takia tietoturva-asenteen ja kulttuurin luominen on onnistuneen tietoturvatyön keskeisin kulmakivi.

16 Uusi déjà vu toivottavasti? Kuka ei ole koskaan törmännyt siihen, että jonkin tietojärjestelmän käyttö tuntuu käsittämättömän vaikealta - syyksi väitetään muka tietoturvallisuutta? Niin ja en nyt tarkoita Fortimea tai Travelia Aika harva kyseenalaistaa sitä, miten helpolla / hankalasti muodostamme pankkiyhteyden hoitaaksemme pankkiasioinnin? Luottaisimmeko esimerkiksi sellaiseen pankkiin, joka ei salaisi tietoliikenneyhteyttä ja ei edellyttäisi vahvaa tunnistautumista? Eikö meidän tule edellyttää sitä samaa koko valtionhallintoa koskevilta keskeisiltä tietojärjestelmiltä? 16

17 Lohdutuksen sana

18 Kohti tietoturva-asetusta Kommentti ja esimerkki ennen aikaa Taas tuli yksi uusi Vahti-ohje, pitäisi se kai lukea - Älä suotta, ei niillä ole merkitystä kun ne on vain ohjeita, ei niistä tarvitse välittää 18

19 Tietoturvallisuudessakin taustalla ovat velvoittavuudet ja sopimukset Kuten kaikessa organisaation toiminnassa, liikkeelle tulee lähteä organisaatiota ja järjestelmää koskevien velvoitteiden näkökulmasta. Meillä valtionhallinnossa on huomioitava ennen kaikkea lait ja asetukset, sopimukset sekä esimerkiksi Valtioneuvoston periaatepäätös tietoturvallisuuden kehittämisestä ( voimaan) sekä tietoturva-asetus ( ) - altionhallinnon_tietoturvallisuus/ valtio/vnp_valtionhallin non_tietoturvallisuuden_kehittaemisestae.pdf

20 VNpp - taustalla velvoittavuudet Jatkossa pelkkään omaan napaan tuijottaminen ei enää riitä! Ei riitä, että omat asiat ovat kunnossa, vaan koko ympäristö / verkosto sisältäen yhteistyötahot pitää olla kunnossa.

21 Tietoaineistojen suojaaminen KAIKEN TOIMINNAN TAUSTALLA ON 0 1

22 Tietoaineistojen luokittelu Erittäin keskeisessä roolissa on siis TIETO Jotta tietoa voidaan käsitellä oikeaoppisesti sen elinkaaren eri vaiheissa, edellyttää se tietoaineistojen luokittelua. Jotta taas luokittelun ymmärtää, pitää tietää luokitteluperusteet, osaltaan lainsäädäntöä ja velvoitteita, millä periaatteella tiedot pitää luokitella. Tämän takia tietoaineistojen luokittelu koetaan hyvin hankalaksi ja sitä se itse asiassa on! Miten tämä ratkaistaan? - Laaditaan niin selkeä ohje, että kuka tahansa aikuinenkin osaa sen avulla luokitella asiakirjat oikein Siis paljon käytännön esimerkkejä

23 Vaara Jos ei tiedetä, miten tietoaineisto luokitellaan eikä uskalleta kysyä: Yliluokitellaan se (ERITTÄIN SALAINEN) varmuuden vuoksi Tai aliluokitellaan tietoaineisto ( toi on ihan julkista kamaa ), koska muuten sen käsittely aiheuttaa ylimääräistä TYÖTÄ JA VAIVAA En saakaan lähettää tuota sähköpostilla tai jatkaa sen käsittelyä kotona 23

24 Takana loistava historia Tietoaineistojen käsittelyyn liittyvää ohjeistusta on kehitetty ainakin alkaen, perimätiedon mukaan jo pitemmän aikaa. 24

25 Tietoturvallisuus-asetus mahtuu yhdelle sivulle! 25

26 Tuleva VAHTI-ohje tietoturva-asetuksen täytäntöönpanosta ei mahdu yhdelle sivulle sivuja tulee olemaan

27 Miksi tällaista tarvitaan? Tietoturvallisuuteen liittyviä asioita on ripoteltu lainsäädännössä useaan eri paikkaan, jatkossa tietoturva-asetus tulee toimimaan keskeisessä roolissa. TTA on jatkossa ehdottomasti tärkein velvoite huolehtia tietoturvallisuudesta entisten (julkisuuslaki, henkilötietolaki, laki yksityisyyden suojasta työelämässä, sähköisen viestinnän tietosuojalaki) ohella. Eräs tärkeimmistä syistä saattaa asetus voimaan liittyy kansainvälisten luokiteltujen tietoaineistojen käsittelyyn - Suomi ei ole ihan välttämättä tällä saralla ole ollut mallioppilas - Vaarana on se, että jos Suomen maine / luotettavuus / uskottavuus käsitellä kansainvälisiä turvallisuusluokiteltuja tietoaineistoja ei ole vakuuttava, emme saa sitä tietoa, jota tarvitsemme! 27

28 Mitä uutta tietoturva-asetus tuo mukanaan? Tietoturvallisuuden perustason määrityksen asetuksessa Neliportainen asteikko suojaustasojen ja turvallisuusluokiteltavien tietoaineistojen luokittelun toteuttamiseksi Vaatimuksen luokiteltujen tietoaineistojen käsittelyn edellyttämän tietoturvallisuustason täyttymisestä - Asetuksessa ei määritetä perustason perusvaatimuksien ohella muita vaatimuksia, vaan ne määritellään tulevassa täytäntöönpanoa koskevassa VAHTI-ohjeessa Joka siis tulee ulos ennen

29 TTA perustason perusvaatimukset 5 Tietoturvallisuuden perustason toteuttaminen Tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on huolehdittava siitä, että: - 1) viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan; - 2) viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään; - 3) asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään; - 4) tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi; 29

30 TTA perustason perusvaatimukset - 5) asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi; - 6) tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttö oikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä; - 7) asiakirjojen tietojenkäsittely- ja säilytytystilat ovat riittävästi valvottuja ja suojattuja; 30

31 TTA perustason perusvaatimukset - 8) henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla; - 9) henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä; - 10) annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti. 31

32 32

33 Luokituksen toteuttaminen - Tietoturvatoimenpiteet on suunniteltava ja toteutettava siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet laatiminen tai vastaanottaminen luovuttaminen siirtäminen käsittelyn valvonta arkistointi hävittäminen hävittäminen laatiminen tai vastaanottam inen - Jos valtionhallinnon viranomainen on päättänyt luokitella asiakirjansa tietoturvallisuuden toteuttamiseksi, luokittelussa on noudatettava tietoturvaasetuksen 3. luvussa säädettyjä perusteita. - Luokitusta ei saa ulottaa sellaiseen asiakirjaan tai asiakirjan osiin, joissa käsittelyvaatimusten noudattaminen ei suojattavan edun vuoksi ole tarpeen. - Merkinnän tarpeellisuus ja sen osoittama suojaustasovaatimus on tarkistettava viimeistään silloin, kun viranomainen on antamassa asiakirjan ulkopuoliselle. arkistointi käsittelyn valvonta luovuttamine n siirtäminen

34 Julkinen vs. salassa pidettävä tieto Julkinen tieto - Ei julkisuuslain tai muun säädöksen perusteella ole määritetty salassa pidettäväksi - Muu kuin laissa määritelty tieto, jos tiedon paljastumiselle ulkopuolisille ei ole haitallisia seuraamuksia Salassa pidettävä tieto - Lainsäädännöllinen peruste tai tiedon paljastumisella ulkopuolisille on eri asteisia haitallisia seuraamuksia Esmes salassa pidettävät henkilötiedot ja liike- sekä ammattisalaisuudet

35 Turvallisuusluokitellut tietoaineistot 11 - Turvallisuusluokitusmerkintää koskevat erityissäännökset Jos asiakirjan tai siihen sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muulle yleiselle edulle viranomaisten toiminnan julkisuudesta annetun lain 24 :n 1 momentin 2 ja 7 10 kohdassa tarkoitetulla tavalla, salassa pidettävän asiakirjan suojaustasoa koskevan merkinnän yhteyteen tai sen sijasta voidaan tehdä erityinen turvallisuusluokitusmerkintä. - Turvallisuusluokitusmerkintä tehdään: 1) suojaustasoon I kuuluvaan asiakirjaan merkinnällä ERITTÄIN SALAINEN ; 2) suojaustasoon II kuuluvaan asiakirjaan merkinnällä SALAINEN ; 3) suojaustasoon III kuuluvaan asiakirjaanmerkinnällä LUOTTAMUKSELLINEN ; 4) suojaustasoon IV kuuluvaan asiakirjaan merkinnällä KÄYTTÖ RAJOITETTU. 35

36 Suojaustasojen määrittelyt Salassa pidettävien asiakirjojen luokittelussa käytetään seuraavia luokkia: 1. suojaustaso I, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille; 2. suojaustasotaso II, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille; 3. suojaustaso III, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille; 4. suojaustaso IV, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille.

37 Käsittelyn rajoitukset Linjaukset asetuksessa, tarkemmat ohjeet VAHTIohjeistuksessa Suojaustason I ja II asiakirjoille tiukat vaatimukset - tulevat edellyttämään KORKEAN tietoturvatason vaatimusten täyttymistä Suojaustason III asiakirja voi siirtää viranomaisen ylläpitämässä käyttörajoitetussa tietoverkossa, jos tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät korotetun tietoturvallisuuden tason vaatimukset. Sama koskee suojaustasoa IV edellyttävää arkaluonteisia henkilötietoja tai biometrisiä tunnistetietoja sisältävää henkilörekisteriin talletettua asiakirjaa. Suojaustason IV asiakirjan saa siirtää valtionhallinnon viranomaisen päättämällä tavalla

38 Tietoturvatasot? Asetuksessa viitataan perus, korotettuun ja korkeaan tietoturvallisuustasoon. Näiden tasojen vaatimukset löytyvät tulevassa tietoturva-asetuksen täytäntöönpanoa koskevassa VAHTI-ohjeessa. - Ne jotka ovat niitä jo v lukeneet ja hyödyntäneet, huomaavat että muutoksia on tapahtunut todella vähän! Tietoturvatasojen saavuttaminen edellyttää organisaatiosta ennen kaikkea käytäntöjen dokumentointia, ohjeistamista, koulutusta ja prosessien liikkeelle saattamista vuosikellon mukaiseksi toiminnaksi. - => ei kalliita investointeja vaan hyviä perslihaksia vastuuhenkilöiltä! 38

39 Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Mikä on KATAKRI-vaatimuskriteeristön suhde VAHTIohjeessa kuvattuihin tietoturvatasoihin? 39

40 Kansallinen turvallisuusauditointikriteeristö (KATAKRI) KATAKRI-kriteeristöä pitää käyttää ennen kaikkea kun kyse on kansainvälisestä turvallisuusluokitellusta aineistosta tai kansallisesta turvallisuusluokitellusta tietoaineistosta 40

41 Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Koska KATAKRI-koskee pientä määrää tietoaineistoja ja sen sisältämät ehdot ovat pakollisia, ehdottomia vaatimuksia, niiden täyttäminen ja käyttöönottaminen kansallisille suojaustasoluokitelluille tietoaineistoille aiheuttaisi erittäin suuria lisäkustannuksia nykyisiin ja tuleviin tietojärjestelmiin, tulee sitä käyttää vain silloin kun se on velvoittavaa. Tämän ohella myös korotetun ja korkean tietoturvatason tietojenkäsittely-ympäristössä voidaan suositella otettavaksi käyttöön KATAKRI-kriteeristössä edellytettyjä vaatimuksia. 41

42 Mille tasolle? Mille tasolle organisaatio tai suojattava kohde sijoittuu tai sijoitetaan? Riippuu täysin käsiteltävästä tietoaineistosta tai muuten suojattavasta kohteesta (huomioidaan lait ja asetukset sekä sopimukset) - Mikään ei estä edellyttämästä itse korkeampia vaatimuksia, jotka tosin aiheuttavat lisäkustannuksia Oletuksena kaikkien tulee täyttää perustietoturvatasovaatimukset. Osalle organisaatioita ja tietojärjestelmiä tämä tulee riittämään. Osa organisaatioista (turvaviranomaiset, palvelukeskukset) tulevat sijoittumaan ja heidän palvelut tulevat edellyttämään korotetun, rajoitetussa määrin korkean tietoturvatason toteutumista. Tästä seuraa seuraavalla sivulla kuvattu ongelma 42

43 Mille tasolle 43

44 Asiakkaan liittyminen VIPin palveluiden käyttäjäksi - tietoturvatasoedellytykset VIPin asiantuntijapalveluiden suorittama auditointi tietoturvallisuusasetuksen mukaista perustietoturvatasoa vastaan jos organisaatiolla ei ole vakavia (kriittisiä), sen oman toiminnan, VIPin palvelun ja VIPin muiden asiakkaiden toiminnan vaarantavia poikkeamia, asiakas voi liittyä palveluun Muiden poikkeamien osalta korjaussuunnitelma jos löytyy vakavia (kriittisiä) poikkeamia, ne tulee korjata ja näiden osalta uudelleenauditointi, jonka jälkeen tervetuloa! - auditointi maksaa 5500 (3 pv tekninen, 3 pv hallinnollinen, asiakkaan luona tehtävä työ noin htp auditointihaastattelu, 0,5 htp auditoinnin esittely) - yksi auditointi riittää kaikkiin meidän palveluihin, seuraavan kerran auditointi suoritetaan jälkeen kun perustaso on pitänyt täyttää ja korotetun / korkean tason ylimenokauden päätyttyä 44

45 Asiakkaan liittyminen VIPin palveluiden käyttäjäksi - tietoturvatasoedellytykset Organisaatio saavuttaa tietoturvatasojen perustason mennessä ja korotetun tai korkean tason mennessä niiden organisaation omien palveluiden & toimintojen osalta, jotka sitä edellyttävät Tilaisuus, Esittäjä 45

46 Konsernimainen ajattelu - tietoturvallisuus Jos suuressa konsernissa, jossa on 120 yksikköä, jokainen saa rakentaa omat ICT-palvelut, voidaanko olettaa: 120 erilaista mallia tuottaa palveluita - Osa saattaa käyttää jopa samoja malleja ja työvälineitä, vahingossa? Kustannushyötyjä ei ole maksimoitu, 120 x erilliset lisenssit keskitetyn ja hallitun 1 x sijaan? Toimittajat vetävät ja vedättävät yksiköitä välillä kuin pässiä narussa? Jatkuvuuden turvaaminen ja riskienhallinta niin monta tapaa kuin on vastuuhenkilöitä, jotka yrittävät toimintatapoja luoda?

47 Konsernimainen ajattelu - tietoturvallisuus Kun tilannetta arvioidaan kolmen tai viiden vuoden kuluttua, toivottavasti olemme nousseet merkittävästi ylöspäin kiitos ValtIT-KuntaIT sekä Valtion ITpalvelukeskuksen ja asiakkaidemme (TEIDÄN) koko valtio- ja julkishallintokonsernin yhteistyön, joka heijastuu myös jatkuvuuden turvaamiseen ja riskienhallintaan miten?

48 Konsernimainen ajattelu - tietoturvallisuus VIPin rooli kasvaa tietoturvallisuuden tuottamisessa merkittävästi - Tarjoamalla palvelut keskitetysti VIPin kautta palvelut voidaan toteuttaa kustannustehokkaasti saavuttaen korotetun / tarvittaessa korkean tason (esimerkiksi käyttöpalvelut) sekä tietojärjestelmät - Teknisen tietoturvallisuuden vastuu siirtyy enemmän VIPille, joka voi tuottaa ratkaisun edellytettävällä tasolla kustannustehokkaasti Sen sijaan että 120 organisaatiota kehittää viestintää, tietoliikennettä, työasemavakiointia, haittaohjelmasuojausta saadaan sama tehtyä kertaluonteisesti VIPin kautta kustannustehokkaammin ja tietoturvallisemmin

49 Konsernimainen ajattelu - tietoturvallisuus Jatkuvuuden turvaamisessa ja riskienhallinnassa sama asia: - Sen sijaan että joudumme miettimään 120 * samat asiat yksittäisissä organisaatioissa, keskittämällä ja konsolidoimalla näitäkin asioita saavutetaan: Tuottavuutta Laatua Kustannustehokkuutta Osana koko valtionhallintoon suunnattavia palveluita olemme kehittämässä useita tämän esityksen aihepiiriä sivuavia työvälineitä, ohjeistuksia ja koulutuksia.

50 VAHTI-ohjeet, joissa VIP aktiivisesti mukana VAHTI-sisäverkko-ohje - Tulee ulos ennen , sisältää perus-korotetun-korkean tason vaatimukset sisäverkoille, mukana myös kv turvaluokiteltuja tietoaineistoja käsiteltäessä huomioitavia KATAKRI-vaatimuksia Yksityiskohtainen vaatimuskriteeristö niistä asioista, jotka pitää täyttää, jotta WLAN-verkkoa voidaan käyttää sisäverkossa VAHTI-hankintojen tietoturvaohje - Kun TTA-asetus ja siihen oleellisesti liittyvät vaatimuskriteerit saada lopullisesti ulos, voidaan hankintojen tietoturvaohje viimeistellä vastaamaan tästä seuraavia velvotteita VAHTI-sosiaalisen median tietoturvaohje - loppuvuosi - Uusi ryhmä aloittanut toukokuussa Hyödynnetään myös osittain taso-ajattelua Perustason organisaatiossa voidaan sallia ja hyödyntää sosiaalisen median palveluita eri tavalla kuin korkean tason organisaatiossa

51 Miten VIPin tietoturvapalvelut voivat auttaa? Auditointi-konsultointipalvelu - tuotannossa - Käytössämme neljän alihankkijan kautta >50 sertifioitua, turvaselvitettyä, vaitiolositoumuksen allekirjoittanutta koulutettua asiantuntijaa Työkalupakki tietoturvavastaaville - Avataan 18.9 Materiaalipankki Keskusteluareena Verkko-oppimisympäristö tietoturvallisuudesta Tietoturvahaavoittuvuuspalvelu - 1/ Voitte jatkossa tilata kertaluonteisen tai säännöllisen haavoittuvuusskannauksen esimerkiksi internet-verkkoon näkyviin laitteisiin, palomuureihin ja tietojärjestelmiin 51

52 Tämän lisäksi VM tulee käynnistämään (vuoden vaihteeseen mennessä ) VIPin toteuttamana tietoturvallisuuden yhteishankkeen (1-2 kpl v 2011), joissa meidän ja konsulttien kanssa yhteistyössä toteutettujen, ohjattujen työpajojen ja kotitehtävien kautta saatamme yhteishankkeeseen osallistuvat organisaatiot perustietoturvallisuuden polulle ja maaliin. Ja ohjeistamme ja neuvomme myös siitä, miten perustasolta matkaa jatketaan korotetulle tai korkealle tasolle 52

53 Miksi tietoturvallisuus on hankalaa? Kolmen kalvon rankka tiivistys Näkemyksemme on, että jos tietoturvallisuus ei ole liitetty osaksi organisaation toimintaprosesseja (tietoturvallisuus nähdään erikseen mietittävänä asiana), sen sisällyttäminen toimintaan on erityisen haastavaa jos tietoturvallisuudesta ei ole tullut organisaatioon asennetta ja kulttuuria, näiden luomiseen kuluu aikaa vuosia - tähän liittyy keskeisenä säännöllinen tiedottaminen ja henkilöstön kouluttaminen ja motivointi jos organisaation johto ei ole sisäistänyt sitä, että tietoturvallisuus on - olennainen osa organisaation liiketoiminnan jatkuvuuden turvaamista, - jossa huolehditaan tiedon turvaamisesta (luottamuksellisuus eheys saatavuus helppokäyttöisyys), - hyödynnetään ja kehitetään säännönmukaista riskien arviointia, - jatkuvuus- ja valmiussuunnittelua sekä - säännöllistä auditointia

54 Pika-auditointi v 0.22 alfa 1. Prosessit ovat kunnossa 2. Tietoturva-asenne ja kulttuuri ovat kunnossa sisältäen aktiivisen koulutuksen & tiedotus 3. Organisaation johto ja esimiehet ovat sisäistäneet tietoturvallisuuden merkityksen 4. Riskienhallintakokonaisuus on toiminnassa 5. Jatkuvuussuunnittelu on hallinnassa 6. Valmiussuunnittelu on hallinnassa 7. Keskeisiä toimintoja auditoidaan säännöllisesti (substanssi teknologia) ja sen pohjalta asioita laitetaan kuntoon eli korjataan Hmmm???? 2 pistettä 1 piste 0 pistettä

55 Pika-auditointi v 0.22 alfa 0 pistettä - Olette alle tietoturvallisuuden perustason ja vaarannatte niin oman kuin asiakkaiden ja toimintaverkoston toiminnan 1 7 pistettä - Olette lähestymässä (1-5) tai saavuttaneet (6-7) tietoturvallisuuden perustason 8 11 pistettä - Olette saavuttaneet perustason (8-9) ja matkalla jo kohti korotettua tasoa tai sen saavuttaminen ei ole merkittävä haaste >11 pistettä - Olette matkalla jo korkeaan tasoon onnittelut!

56 Kysymyksiä ja kommentteja? Kiitos!