Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku
|
|
- Kirsi Salo
- 8 vuotta sitten
- Katselukertoja:
Transkriptio
1 Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku Ryhmäpäällikkö, tietoturvapäällikkö Valtion IT-palvelukeskus VIP tietoturvapalvelut
2 Esitykseni pääkohtia ovat mm. Lähtötasokysely Miksi tietoturvallisuus on niin hel**tin vaikeaa? Keppiä ja porkkanaa Mitä uutta tietoturva-asetus tuo mukanaan? Tietoaineistojen luokittelusta Miten tietoturvatasot ja tietoturva-asetus liittyvät toisiinsa? Millaista ohjeistusta ja apua on saatavissa? Miten VIPin tietoturvapalvelut voivat auttaa? Kotitehtävän antaminen Lisää keskustelua aiheesta 2
3 Lähtötasokysely mitä me tiedämme? Käytämme George Horace Gallupin kehittelemistä menetelmistä johdettua tapaa ensin 7 ja sitten 9 kysymystä ja nostatte tassua, jos olette samaa mieltä olkaa rehellisiä, kiitos! Emme valokuvaa tai videoi vastauksianne ja niitä ei tulla käyttämään missään muussa yhteydessä. 3
4 Lähtötasokysely - tietoaineistot 1. Osaan erottaa työtehtävissäni julkisen tietoaineiston salassa pidettävästä tietoaineistosta? 2. Jos aineisto on luokiteltava, osaan sijoittaa eli luokitella sen olemassa olevan tietoaineistojen luokitteluvaatimusten mukaan oikeaan luokkaan? 3. Organisaatiossamme on kirjalliset ohjeet tietoaineistojen elinkaarenhallinnan mukaiseen toimintaan. 4. Nämä kirjalliset ohjeet on koulutettu henkilöstölle. 5. Henkilöstö sinä mukaan lukien, toimit näiden ohjeiden mukaisesti. 6. Käsittelen säännöllisesti ST II- tai ST I-luokan tietoaineistoja 7. Käsittelen säännöllisesti turvaluokiteltuja tietoaineistoja 4
5 Lähtötasokysely - tietoturvallisuus 1. Kotonamme on koira. 2. Koiramme toimii vahtikoirana. 3. Asuntoni pihalla on schäfereitä, saksan paimenkoiria ja muita verikoiria valvomassa ja suojaamassa. 4. Asuntoni suojana on miinakenttä. 5. Kotonani on jonkinlainen varashälytin. 6. Kotonani on sähköaita. 7. Olen lukenut organisaationi tietoturvaohjeet. 8. Olen ymmärtänyt ne ja sisäistänyt niiden merkityksen. 9. Noudatan kuuliaisesti em. ohjeita. 5
6 Tilaisuus, Esittäjä 6
7 Kultaiset säännöt Käytä talonpoikaisjärkeä. Älä hölmöile - Erityisesti netissä Ja ennen kaikkea sosiaalisessa media Naisilla on pitkä muisti. Norsulla on vielä pidempi. Netti ei unohda koskaan mitään. 7
8 Mihin tämä pahimmillaan johtaa? Koska tietoturvallisuus koetaan ongelmalliseksi, yritetään sitä ratkaista teknologialla. Hankitaan kaikki mahdolliset hilavitkuttimet ja venäläiset takapuolen päristimet suojaamaan meidän kruunun jalokiviä = tietojamme. Ajatellaan, että nyt se tietoturvallisuus on kunnossa. Suomessa tekninen tietoturvallisuus on pääsääntöisesti hoidettu hyvin, koska se voidaan ostaa rahalla. - Ei koske valitettavasti kaikkia esimerkiksi ulkoisissa käyttöpalveluissa sijaitsevia palveluita Tekninen tietoturvallisuus on vain toinen osa, hallinnollinen tietoturvallisuus on se tärkeämpi ja ongelmallisempi. Sitä ei voi laittaa kuntoon rahalla. Tietoturvallisuuden pitäisi olla ennen kaikkea asennetta ja kulttuuria sekä osa organisaation kaikkia prosesseja. 8
9 Miksi tietoturvallisuus on niin hankalaa? TOP viisi tietoturvallisuutta haittaavat tekijät lähdeaineistona keskustelut kollegoiden kanssa 1. Tietoturvallisuutta EI ole viety organisaation prosessien osaksi Mikäli tietoturvallisuus on ERIKSEEN mietittävä osa-alue, se ei tule koskaan toimimaan saumattomasti 2. Tietoturvallisuus EI ole muodostunut asenteeksi - Esimerkiksi käyttäjien holtiton nettikäyttäytyminen 3. Tietoturvallisuutta EI nähdä LAATUTEKIJÄNÄ - Tietoturvallisuus = LAATUA! 4. Riskienhallinta EI ole a) toiminnassa ja/tai b) säännönmukaista, vuosikellon mukaista toimintaa 5. Järjestelmien turvallisuutta ja toimittajaa EI auditoida säännöllisesti pääsee syntymään piiloriskejä
10 Asennekasvatusta!
11 Riskien arviointi - keskeinen osa TTA ja TTT Jos riskien arviointi ei ole kunnossa, miten tietoturvallisuus voidaan mitoittaa kun mittarit puuttuvat? Tietoturvallisuus pitää olla kunnossa, koska riskit saattavat toteutua (voiko tähän Hakaniemeen rantautua suuri määrä valaita, joka aiheuttaa sellaisia ongelmia, joita emme voi nyt ennakoida? Voiko tulivuorenpurkaus Islannissa sekoittaa Euroopan lentoliikenteen?) Jos tietoturvallisuus on kuitenkin liian tiukka, heikentää se järjestelmien käytettävyyttä ja helppokäyttöisyyttä keskeinen osa luottamuksellisuus eheys saatavuus -ohella Tällöin organisaation suurin riski ei ole välttämättä ulkopuoliset tietomurtautujat, vaan organisaation oma tietohallinto ja tietoturvaorganisaatio! (Tehdään itse palvelunestohyökkäys organisaation omaa toimintaa vastaan ) Käytettävyys Riskien arviointi Tietoturvallisuus
12 Unohdetaan tietoturva!
13 Erilainen näkymä - Onko organisaatiosi hallinnollinen tietoturvallisuus millä tasolla? Perus - Pientä tulipaloa pukkaa prosessit ovat oikeaan suuntaan menossa (käytämme sanaa prosessi) - Homma ei toimi aina samalla tavalla Yksittäiset gurut ( Make tai Maija saavat asian näyttämään paremmalta kuin se on Korotettu - Meillä suunnitellaan asioita ja laiva on kurssissa määritelty ja dokumentoitu toiminta Elinkaarenhallinta sitä on! Yksi tehtävä ja monta tekijää = lopputulos on vakioitu Tietoturvallisuus on asenne! Korkea tiedämme myös miten lujaa me mennään ja mihin suuntaan - Me ohjaamme meitä ei ohjata! - Ei jämähdetä paikalle haetaan uusia toimintamalleja - Mittaamme ja vertaamme - Asenne ja resurssit ovat tasapainossa sekä resursseja käytetään järkevästi
14 Tekninen tietoturvallisuus IDS, IPS, PKI, apumuistien hallinta, terveystarkastukset Salaaminen *.*, prosessit, KVH, valvontakamerat HOTO, palomuurit, kulunvalvonta, kulkukortit
15 Kumpi teillä on paremmin? A) Hallinnollinen tietoturvallisuus? B) Tekninen tietoturvallisuus? Miksi tekninen? Suomessa on perinteisesti totuttu siihen, että rautaa rajalle eli tietoturvallisuutta voidaan ostaa rahalla. Tosin tämä saattaa antaa virheellisen kuvan siitä, että tietoturvallisuus on kunnossa, koska niin paljon on investoitu tekniikkaan. Jos teknisen järjestelmän käyttöönotto vie 10 htp, saattaa jonkin ison organisaation koko toimintaan vaikuttavan toimintaprosessin juurruttamiseen kulua koko ihmisikä (eikä aina riitä), tai ainakin useita vuosia. Tämän takia tietoturva-asenteen ja kulttuurin luominen on onnistuneen tietoturvatyön keskeisin kulmakivi.
16 Uusi déjà vu toivottavasti? Kuka ei ole koskaan törmännyt siihen, että jonkin tietojärjestelmän käyttö tuntuu käsittämättömän vaikealta - syyksi väitetään muka tietoturvallisuutta? Niin ja en nyt tarkoita Fortimea tai Travelia Aika harva kyseenalaistaa sitä, miten helpolla / hankalasti muodostamme pankkiyhteyden hoitaaksemme pankkiasioinnin? Luottaisimmeko esimerkiksi sellaiseen pankkiin, joka ei salaisi tietoliikenneyhteyttä ja ei edellyttäisi vahvaa tunnistautumista? Eikö meidän tule edellyttää sitä samaa koko valtionhallintoa koskevilta keskeisiltä tietojärjestelmiltä? 16
17 Lohdutuksen sana
18 Kohti tietoturva-asetusta Kommentti ja esimerkki ennen aikaa Taas tuli yksi uusi Vahti-ohje, pitäisi se kai lukea - Älä suotta, ei niillä ole merkitystä kun ne on vain ohjeita, ei niistä tarvitse välittää 18
19 Tietoturvallisuudessakin taustalla ovat velvoittavuudet ja sopimukset Kuten kaikessa organisaation toiminnassa, liikkeelle tulee lähteä organisaatiota ja järjestelmää koskevien velvoitteiden näkökulmasta. Meillä valtionhallinnossa on huomioitava ennen kaikkea lait ja asetukset, sopimukset sekä esimerkiksi Valtioneuvoston periaatepäätös tietoturvallisuuden kehittämisestä ( voimaan) sekä tietoturva-asetus ( ) - altionhallinnon_tietoturvallisuus/ valtio/vnp_valtionhallin non_tietoturvallisuuden_kehittaemisestae.pdf
20 VNpp - taustalla velvoittavuudet Jatkossa pelkkään omaan napaan tuijottaminen ei enää riitä! Ei riitä, että omat asiat ovat kunnossa, vaan koko ympäristö / verkosto sisältäen yhteistyötahot pitää olla kunnossa.
21 Tietoaineistojen suojaaminen KAIKEN TOIMINNAN TAUSTALLA ON 0 1
22 Tietoaineistojen luokittelu Erittäin keskeisessä roolissa on siis TIETO Jotta tietoa voidaan käsitellä oikeaoppisesti sen elinkaaren eri vaiheissa, edellyttää se tietoaineistojen luokittelua. Jotta taas luokittelun ymmärtää, pitää tietää luokitteluperusteet, osaltaan lainsäädäntöä ja velvoitteita, millä periaatteella tiedot pitää luokitella. Tämän takia tietoaineistojen luokittelu koetaan hyvin hankalaksi ja sitä se itse asiassa on! Miten tämä ratkaistaan? - Laaditaan niin selkeä ohje, että kuka tahansa aikuinenkin osaa sen avulla luokitella asiakirjat oikein Siis paljon käytännön esimerkkejä
23 Vaara Jos ei tiedetä, miten tietoaineisto luokitellaan eikä uskalleta kysyä: Yliluokitellaan se (ERITTÄIN SALAINEN) varmuuden vuoksi Tai aliluokitellaan tietoaineisto ( toi on ihan julkista kamaa ), koska muuten sen käsittely aiheuttaa ylimääräistä TYÖTÄ JA VAIVAA En saakaan lähettää tuota sähköpostilla tai jatkaa sen käsittelyä kotona 23
24 Takana loistava historia Tietoaineistojen käsittelyyn liittyvää ohjeistusta on kehitetty ainakin alkaen, perimätiedon mukaan jo pitemmän aikaa. 24
25 Tietoturvallisuus-asetus mahtuu yhdelle sivulle! 25
26 Tuleva VAHTI-ohje tietoturva-asetuksen täytäntöönpanosta ei mahdu yhdelle sivulle sivuja tulee olemaan
27 Miksi tällaista tarvitaan? Tietoturvallisuuteen liittyviä asioita on ripoteltu lainsäädännössä useaan eri paikkaan, jatkossa tietoturva-asetus tulee toimimaan keskeisessä roolissa. TTA on jatkossa ehdottomasti tärkein velvoite huolehtia tietoturvallisuudesta entisten (julkisuuslaki, henkilötietolaki, laki yksityisyyden suojasta työelämässä, sähköisen viestinnän tietosuojalaki) ohella. Eräs tärkeimmistä syistä saattaa asetus voimaan liittyy kansainvälisten luokiteltujen tietoaineistojen käsittelyyn - Suomi ei ole ihan välttämättä tällä saralla ole ollut mallioppilas - Vaarana on se, että jos Suomen maine / luotettavuus / uskottavuus käsitellä kansainvälisiä turvallisuusluokiteltuja tietoaineistoja ei ole vakuuttava, emme saa sitä tietoa, jota tarvitsemme! 27
28 Mitä uutta tietoturva-asetus tuo mukanaan? Tietoturvallisuuden perustason määrityksen asetuksessa Neliportainen asteikko suojaustasojen ja turvallisuusluokiteltavien tietoaineistojen luokittelun toteuttamiseksi Vaatimuksen luokiteltujen tietoaineistojen käsittelyn edellyttämän tietoturvallisuustason täyttymisestä - Asetuksessa ei määritetä perustason perusvaatimuksien ohella muita vaatimuksia, vaan ne määritellään tulevassa täytäntöönpanoa koskevassa VAHTI-ohjeessa Joka siis tulee ulos ennen
29 TTA perustason perusvaatimukset 5 Tietoturvallisuuden perustason toteuttaminen Tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on huolehdittava siitä, että: - 1) viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan; - 2) viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään; - 3) asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään; - 4) tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi; 29
30 TTA perustason perusvaatimukset - 5) asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi; - 6) tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttö oikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä; - 7) asiakirjojen tietojenkäsittely- ja säilytytystilat ovat riittävästi valvottuja ja suojattuja; 30
31 TTA perustason perusvaatimukset - 8) henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla; - 9) henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä; - 10) annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti. 31
32 32
33 Luokituksen toteuttaminen - Tietoturvatoimenpiteet on suunniteltava ja toteutettava siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet laatiminen tai vastaanottaminen luovuttaminen siirtäminen käsittelyn valvonta arkistointi hävittäminen hävittäminen laatiminen tai vastaanottam inen - Jos valtionhallinnon viranomainen on päättänyt luokitella asiakirjansa tietoturvallisuuden toteuttamiseksi, luokittelussa on noudatettava tietoturvaasetuksen 3. luvussa säädettyjä perusteita. - Luokitusta ei saa ulottaa sellaiseen asiakirjaan tai asiakirjan osiin, joissa käsittelyvaatimusten noudattaminen ei suojattavan edun vuoksi ole tarpeen. - Merkinnän tarpeellisuus ja sen osoittama suojaustasovaatimus on tarkistettava viimeistään silloin, kun viranomainen on antamassa asiakirjan ulkopuoliselle. arkistointi käsittelyn valvonta luovuttamine n siirtäminen
34 Julkinen vs. salassa pidettävä tieto Julkinen tieto - Ei julkisuuslain tai muun säädöksen perusteella ole määritetty salassa pidettäväksi - Muu kuin laissa määritelty tieto, jos tiedon paljastumiselle ulkopuolisille ei ole haitallisia seuraamuksia Salassa pidettävä tieto - Lainsäädännöllinen peruste tai tiedon paljastumisella ulkopuolisille on eri asteisia haitallisia seuraamuksia Esmes salassa pidettävät henkilötiedot ja liike- sekä ammattisalaisuudet
35 Turvallisuusluokitellut tietoaineistot 11 - Turvallisuusluokitusmerkintää koskevat erityissäännökset Jos asiakirjan tai siihen sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muulle yleiselle edulle viranomaisten toiminnan julkisuudesta annetun lain 24 :n 1 momentin 2 ja 7 10 kohdassa tarkoitetulla tavalla, salassa pidettävän asiakirjan suojaustasoa koskevan merkinnän yhteyteen tai sen sijasta voidaan tehdä erityinen turvallisuusluokitusmerkintä. - Turvallisuusluokitusmerkintä tehdään: 1) suojaustasoon I kuuluvaan asiakirjaan merkinnällä ERITTÄIN SALAINEN ; 2) suojaustasoon II kuuluvaan asiakirjaan merkinnällä SALAINEN ; 3) suojaustasoon III kuuluvaan asiakirjaanmerkinnällä LUOTTAMUKSELLINEN ; 4) suojaustasoon IV kuuluvaan asiakirjaan merkinnällä KÄYTTÖ RAJOITETTU. 35
36 Suojaustasojen määrittelyt Salassa pidettävien asiakirjojen luokittelussa käytetään seuraavia luokkia: 1. suojaustaso I, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille; 2. suojaustasotaso II, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille; 3. suojaustaso III, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille; 4. suojaustaso IV, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille.
37 Käsittelyn rajoitukset Linjaukset asetuksessa, tarkemmat ohjeet VAHTIohjeistuksessa Suojaustason I ja II asiakirjoille tiukat vaatimukset - tulevat edellyttämään KORKEAN tietoturvatason vaatimusten täyttymistä Suojaustason III asiakirja voi siirtää viranomaisen ylläpitämässä käyttörajoitetussa tietoverkossa, jos tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät korotetun tietoturvallisuuden tason vaatimukset. Sama koskee suojaustasoa IV edellyttävää arkaluonteisia henkilötietoja tai biometrisiä tunnistetietoja sisältävää henkilörekisteriin talletettua asiakirjaa. Suojaustason IV asiakirjan saa siirtää valtionhallinnon viranomaisen päättämällä tavalla
38 Tietoturvatasot? Asetuksessa viitataan perus, korotettuun ja korkeaan tietoturvallisuustasoon. Näiden tasojen vaatimukset löytyvät tulevassa tietoturva-asetuksen täytäntöönpanoa koskevassa VAHTI-ohjeessa. - Ne jotka ovat niitä jo v lukeneet ja hyödyntäneet, huomaavat että muutoksia on tapahtunut todella vähän! Tietoturvatasojen saavuttaminen edellyttää organisaatiosta ennen kaikkea käytäntöjen dokumentointia, ohjeistamista, koulutusta ja prosessien liikkeelle saattamista vuosikellon mukaiseksi toiminnaksi. - => ei kalliita investointeja vaan hyviä perslihaksia vastuuhenkilöiltä! 38
39 Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Mikä on KATAKRI-vaatimuskriteeristön suhde VAHTIohjeessa kuvattuihin tietoturvatasoihin? 39
40 Kansallinen turvallisuusauditointikriteeristö (KATAKRI) KATAKRI-kriteeristöä pitää käyttää ennen kaikkea kun kyse on kansainvälisestä turvallisuusluokitellusta aineistosta tai kansallisesta turvallisuusluokitellusta tietoaineistosta 40
41 Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Koska KATAKRI-koskee pientä määrää tietoaineistoja ja sen sisältämät ehdot ovat pakollisia, ehdottomia vaatimuksia, niiden täyttäminen ja käyttöönottaminen kansallisille suojaustasoluokitelluille tietoaineistoille aiheuttaisi erittäin suuria lisäkustannuksia nykyisiin ja tuleviin tietojärjestelmiin, tulee sitä käyttää vain silloin kun se on velvoittavaa. Tämän ohella myös korotetun ja korkean tietoturvatason tietojenkäsittely-ympäristössä voidaan suositella otettavaksi käyttöön KATAKRI-kriteeristössä edellytettyjä vaatimuksia. 41
42 Mille tasolle? Mille tasolle organisaatio tai suojattava kohde sijoittuu tai sijoitetaan? Riippuu täysin käsiteltävästä tietoaineistosta tai muuten suojattavasta kohteesta (huomioidaan lait ja asetukset sekä sopimukset) - Mikään ei estä edellyttämästä itse korkeampia vaatimuksia, jotka tosin aiheuttavat lisäkustannuksia Oletuksena kaikkien tulee täyttää perustietoturvatasovaatimukset. Osalle organisaatioita ja tietojärjestelmiä tämä tulee riittämään. Osa organisaatioista (turvaviranomaiset, palvelukeskukset) tulevat sijoittumaan ja heidän palvelut tulevat edellyttämään korotetun, rajoitetussa määrin korkean tietoturvatason toteutumista. Tästä seuraa seuraavalla sivulla kuvattu ongelma 42
43 Mille tasolle 43
44 Asiakkaan liittyminen VIPin palveluiden käyttäjäksi - tietoturvatasoedellytykset VIPin asiantuntijapalveluiden suorittama auditointi tietoturvallisuusasetuksen mukaista perustietoturvatasoa vastaan jos organisaatiolla ei ole vakavia (kriittisiä), sen oman toiminnan, VIPin palvelun ja VIPin muiden asiakkaiden toiminnan vaarantavia poikkeamia, asiakas voi liittyä palveluun Muiden poikkeamien osalta korjaussuunnitelma jos löytyy vakavia (kriittisiä) poikkeamia, ne tulee korjata ja näiden osalta uudelleenauditointi, jonka jälkeen tervetuloa! - auditointi maksaa 5500 (3 pv tekninen, 3 pv hallinnollinen, asiakkaan luona tehtävä työ noin htp auditointihaastattelu, 0,5 htp auditoinnin esittely) - yksi auditointi riittää kaikkiin meidän palveluihin, seuraavan kerran auditointi suoritetaan jälkeen kun perustaso on pitänyt täyttää ja korotetun / korkean tason ylimenokauden päätyttyä 44
45 Asiakkaan liittyminen VIPin palveluiden käyttäjäksi - tietoturvatasoedellytykset Organisaatio saavuttaa tietoturvatasojen perustason mennessä ja korotetun tai korkean tason mennessä niiden organisaation omien palveluiden & toimintojen osalta, jotka sitä edellyttävät Tilaisuus, Esittäjä 45
46 Konsernimainen ajattelu - tietoturvallisuus Jos suuressa konsernissa, jossa on 120 yksikköä, jokainen saa rakentaa omat ICT-palvelut, voidaanko olettaa: 120 erilaista mallia tuottaa palveluita - Osa saattaa käyttää jopa samoja malleja ja työvälineitä, vahingossa? Kustannushyötyjä ei ole maksimoitu, 120 x erilliset lisenssit keskitetyn ja hallitun 1 x sijaan? Toimittajat vetävät ja vedättävät yksiköitä välillä kuin pässiä narussa? Jatkuvuuden turvaaminen ja riskienhallinta niin monta tapaa kuin on vastuuhenkilöitä, jotka yrittävät toimintatapoja luoda?
47 Konsernimainen ajattelu - tietoturvallisuus Kun tilannetta arvioidaan kolmen tai viiden vuoden kuluttua, toivottavasti olemme nousseet merkittävästi ylöspäin kiitos ValtIT-KuntaIT sekä Valtion ITpalvelukeskuksen ja asiakkaidemme (TEIDÄN) koko valtio- ja julkishallintokonsernin yhteistyön, joka heijastuu myös jatkuvuuden turvaamiseen ja riskienhallintaan miten?
48 Konsernimainen ajattelu - tietoturvallisuus VIPin rooli kasvaa tietoturvallisuuden tuottamisessa merkittävästi - Tarjoamalla palvelut keskitetysti VIPin kautta palvelut voidaan toteuttaa kustannustehokkaasti saavuttaen korotetun / tarvittaessa korkean tason (esimerkiksi käyttöpalvelut) sekä tietojärjestelmät - Teknisen tietoturvallisuuden vastuu siirtyy enemmän VIPille, joka voi tuottaa ratkaisun edellytettävällä tasolla kustannustehokkaasti Sen sijaan että 120 organisaatiota kehittää viestintää, tietoliikennettä, työasemavakiointia, haittaohjelmasuojausta saadaan sama tehtyä kertaluonteisesti VIPin kautta kustannustehokkaammin ja tietoturvallisemmin
49 Konsernimainen ajattelu - tietoturvallisuus Jatkuvuuden turvaamisessa ja riskienhallinnassa sama asia: - Sen sijaan että joudumme miettimään 120 * samat asiat yksittäisissä organisaatioissa, keskittämällä ja konsolidoimalla näitäkin asioita saavutetaan: Tuottavuutta Laatua Kustannustehokkuutta Osana koko valtionhallintoon suunnattavia palveluita olemme kehittämässä useita tämän esityksen aihepiiriä sivuavia työvälineitä, ohjeistuksia ja koulutuksia.
50 VAHTI-ohjeet, joissa VIP aktiivisesti mukana VAHTI-sisäverkko-ohje - Tulee ulos ennen , sisältää perus-korotetun-korkean tason vaatimukset sisäverkoille, mukana myös kv turvaluokiteltuja tietoaineistoja käsiteltäessä huomioitavia KATAKRI-vaatimuksia Yksityiskohtainen vaatimuskriteeristö niistä asioista, jotka pitää täyttää, jotta WLAN-verkkoa voidaan käyttää sisäverkossa VAHTI-hankintojen tietoturvaohje - Kun TTA-asetus ja siihen oleellisesti liittyvät vaatimuskriteerit saada lopullisesti ulos, voidaan hankintojen tietoturvaohje viimeistellä vastaamaan tästä seuraavia velvotteita VAHTI-sosiaalisen median tietoturvaohje - loppuvuosi - Uusi ryhmä aloittanut toukokuussa Hyödynnetään myös osittain taso-ajattelua Perustason organisaatiossa voidaan sallia ja hyödyntää sosiaalisen median palveluita eri tavalla kuin korkean tason organisaatiossa
51 Miten VIPin tietoturvapalvelut voivat auttaa? Auditointi-konsultointipalvelu - tuotannossa - Käytössämme neljän alihankkijan kautta >50 sertifioitua, turvaselvitettyä, vaitiolositoumuksen allekirjoittanutta koulutettua asiantuntijaa Työkalupakki tietoturvavastaaville - Avataan 18.9 Materiaalipankki Keskusteluareena Verkko-oppimisympäristö tietoturvallisuudesta Tietoturvahaavoittuvuuspalvelu - 1/ Voitte jatkossa tilata kertaluonteisen tai säännöllisen haavoittuvuusskannauksen esimerkiksi internet-verkkoon näkyviin laitteisiin, palomuureihin ja tietojärjestelmiin 51
52 Tämän lisäksi VM tulee käynnistämään (vuoden vaihteeseen mennessä ) VIPin toteuttamana tietoturvallisuuden yhteishankkeen (1-2 kpl v 2011), joissa meidän ja konsulttien kanssa yhteistyössä toteutettujen, ohjattujen työpajojen ja kotitehtävien kautta saatamme yhteishankkeeseen osallistuvat organisaatiot perustietoturvallisuuden polulle ja maaliin. Ja ohjeistamme ja neuvomme myös siitä, miten perustasolta matkaa jatketaan korotetulle tai korkealle tasolle 52
53 Miksi tietoturvallisuus on hankalaa? Kolmen kalvon rankka tiivistys Näkemyksemme on, että jos tietoturvallisuus ei ole liitetty osaksi organisaation toimintaprosesseja (tietoturvallisuus nähdään erikseen mietittävänä asiana), sen sisällyttäminen toimintaan on erityisen haastavaa jos tietoturvallisuudesta ei ole tullut organisaatioon asennetta ja kulttuuria, näiden luomiseen kuluu aikaa vuosia - tähän liittyy keskeisenä säännöllinen tiedottaminen ja henkilöstön kouluttaminen ja motivointi jos organisaation johto ei ole sisäistänyt sitä, että tietoturvallisuus on - olennainen osa organisaation liiketoiminnan jatkuvuuden turvaamista, - jossa huolehditaan tiedon turvaamisesta (luottamuksellisuus eheys saatavuus helppokäyttöisyys), - hyödynnetään ja kehitetään säännönmukaista riskien arviointia, - jatkuvuus- ja valmiussuunnittelua sekä - säännöllistä auditointia
54 Pika-auditointi v 0.22 alfa 1. Prosessit ovat kunnossa 2. Tietoturva-asenne ja kulttuuri ovat kunnossa sisältäen aktiivisen koulutuksen & tiedotus 3. Organisaation johto ja esimiehet ovat sisäistäneet tietoturvallisuuden merkityksen 4. Riskienhallintakokonaisuus on toiminnassa 5. Jatkuvuussuunnittelu on hallinnassa 6. Valmiussuunnittelu on hallinnassa 7. Keskeisiä toimintoja auditoidaan säännöllisesti (substanssi teknologia) ja sen pohjalta asioita laitetaan kuntoon eli korjataan Hmmm???? 2 pistettä 1 piste 0 pistettä
55 Pika-auditointi v 0.22 alfa 0 pistettä - Olette alle tietoturvallisuuden perustason ja vaarannatte niin oman kuin asiakkaiden ja toimintaverkoston toiminnan 1 7 pistettä - Olette lähestymässä (1-5) tai saavuttaneet (6-7) tietoturvallisuuden perustason 8 11 pistettä - Olette saavuttaneet perustason (8-9) ja matkalla jo kohti korotettua tasoa tai sen saavuttaminen ei ole merkittävä haaste >11 pistettä - Olette matkalla jo korkeaan tasoon onnittelut!
56 Kysymyksiä ja kommentteja? Kiitos!
Pilvipalveluiden arvioinnin haasteet
Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä
LisätiedotVIRTU ja tietoturvatasot
1 VIRTU ja tietoturvatasot VIRTU/HAKA seminaari 3.2.2010 Erja Kinnunen VK/VIP VIPin palvelut Tietoturvallisuuden viitekehys valtionhallinnossa Ei tietoturvallisuutta koskevaa erillislakia Valtioneuvoston
LisätiedotLaatua ja tehoa toimintaan
Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät
LisätiedotTietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1
Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten
LisätiedotTIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA
TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi
LisätiedotTurvallisuuden lyhyt koulutuspaketti
Turvallisuuden lyhyt koulutuspaketti VELMU-seminaari 7.12. 0 Julkisuuslaki Aluevalvontalaki Sisältö Tietoturvallisuusasetus Kansallinen turvallisuusauditointikriteeristö (KATAKRI) PE päätös: Merenmittaustietojen
LisätiedotToimitilojen tietoturva
Toimitilojen tietoturva Toimitilakonseptikoulutus Tuija Lehtinen 18.2.2014 Toimitilaturvallisuus Tarkoittaa toimitilojen fyysistä suojaamista, jonka avulla pyritään turvaamaan organisaation häiriötön toiminta
LisätiedotOPETUS- JA KULTTUURIMINISTERIÖN TOIMIALAN TIETOHALLINNON YHTEISTYÖKOKOUS
OPETUS- JA KULTTUURIMINISTERIÖN TOIMIALAN TIETOHALLINNON YHTEISTYÖKOKOUS 22.5.2013 Opetus- ja kulttuuriministeriö Avauspuheenvuoro Ylijohtaja Håkan Mattlin KOULUTUS, TIEDE JA KULTTUURI KOHDEALUEEN KOKONAISARKKITEHTUURITYÖN
LisätiedotPeruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41
Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät
LisätiedotTietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet 13.12.2012 Tommi Oikarinen
Tietoturvallisuus julkisessa hallinnossa Sähköisen hallinnon oikeudelliset perusteet 13.12.2012 Tommi Oikarinen Sisältö Tietoturva Keskeiset säädökset Tietoturva-asetus käsitteet yleiset tietoturvavaatimukset
LisätiedotVihdin kunnan tietoturvapolitiikka
Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...
LisätiedotVirtu tietoturvallisuus. Virtu seminaari 18.3.2014
Virtu tietoturvallisuus Virtu seminaari 18.3.2014 Sisältö Virtu edistää tietoturvallisuutta Tietoturvallisuus Valtorin palveluissa Tietoturvavaatimukset luottamusverkostoon liityttäessä 2 Kertakirjautuminen
Lisätiedot6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;
Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 12.11.1999/1030 Oikeusministerin esittelystä säädetään viranomaisten toiminnan julkisuudesta 21 päivänä toukokuuta 1999 annetun
LisätiedotLausunto Julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta pyydämme yleisesti huomioimaan seuraavaa:
Valtion talous ja henkilöstöhallinnon palvelukeskus Lausunto Palkeet_D/554/07.01.00.01/2018 07.09.2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto
LisätiedotLausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon
tulli.fi Lausunto 07.09.2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan: Tulisiko
LisätiedotTietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä
Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä Erja Saraste PTS:n suunnitteluseminaari 06. - 07.10.2005 Sannäs 10.11.2005 1 Yleistä tietoaineistojen käsittelystä ja julkisuudesta Laki viranomaisen
LisätiedotTutkimuslaitosseminaari
Tutkimuslaitosseminaari Rakennushankkeen suojaustason vaikutus hankkeeseen Case ST III Luottamuksellinen tasoisen hankkeen käynnistämis- ja suunnitteluvaihe. Tu o m m e t i l a l l e r a t k a i s u t
LisätiedotTietoturvapolitiikka
Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden
LisätiedotTietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö
Tietosisällön eheys Kimmo Janhunen kimmo.janhunen@om.fi Riskienhallintapäällikkö Oikeusrekisterikeskuski k 26.11.2014 Esityksen sisältö Tiedon merkitys - tiedon eheyden merkitys Määritelmät Lainsäädäntö
LisätiedotLieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019
Lieksan kaupungin tietoturva- ja 2019 2 (8) Sisällys Johdanto... 3 Käsitteet... 3 Tavoitteet... 5 Toteutus... 5 Organisointi ja vastuut... 6 Riskienhallinta... 7 Seuranta ja valvonta... 7 Dokumentit ja
LisätiedotJulkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta
SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti
LisätiedotHELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa
HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet
LisätiedotKyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?
Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten? 20.11.2015 Kimmo Rousku, VAHTI-pääsihteeri Julkisen hallinnon ICT-toiminto Kyberturvallisuus- ja infrastruktuuriyksikkö
LisätiedotSalassa pidettävien tietojen ja asiakirjojen turvaluokittelu
JHS 147 Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu Julkaistu: 28.11.2000 Voimassaoloaika: Toistaiseksi Sisältö 1 TAUSTAA 1.1 Suosituksen tarkoitus 1.2 Asiakirjojen ja tietojen luokittelu
LisätiedotValtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki
Valtorin tietoturvapalvelut ja VAHTI yhteistyö Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki Tietoturvapalvelut Pekka Ristimäki Johtava asiantuntija Valtion yhteiset tietoturvapalvelut: -Asiantuntijapalvelut
LisätiedotVAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille
VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille 15.3.2016 Kimmo Rousku VAHTI Tilaisuuden ohjelma 2 Tervetuloa! Yksikön päällikkö, VAHTIn puheenjohtaja Aku Hilve
LisätiedotKOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA
KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA 1 S i v u Kokkolan kaupungin tietoturvapolitiikka 1. JOHDANTO Tietojenkäsittely tukee Kokkolan kaupungin palvelujen tuottamista ja palveluiden tehokkuus riippuu
LisätiedotValtion IT-palvelukeskuksen tietoturvapalvelujen ajankohtaiset kuulumiset
Valtion IT-palvelukeskuksen tietoturvapalvelujen ajankohtaiset kuulumiset Tietoturvatasojen ja KATAKRIvaatimusten hallintavälineet Apulaisjohtaja Kimmo Rousku Valtiokonttori, Valtion IT-palvelukeskus Vuosi
LisätiedotTietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari
Tietoturvallisuus osana tiedonhallintalakia Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari 31.8.2018 Tiedonhallintalain valmistelu Ensimmäinen vaihe, työryhmä 17.11.2016-15.9.2017 Tiedonhallinnan lainsäädännön
LisätiedotYritysturvallisuuden perusteet
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet
Verohallinto Lausunto 07.09.2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan:
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet
Sara Saari Lausunto 07.09.2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan:
LisätiedotTietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä
Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston
LisätiedotTietoturvapolitiikka
Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...
LisätiedotEspoon kaupunki Tietoturvapolitiikka
Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016
LisätiedotTietoturvapolitiikka Porvoon Kaupunki
Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...
LisätiedotVM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT
Valtiovarainministeriö Hallinnon kehittämisosasto VM 5/01/2000 19.1.2000 Ministeriöille, virastoille ja laitoksille Asia Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu- ja merkintäohje 1
LisätiedotSOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ
SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ Liite E Salassapito- ja tietoturvasitoumus 1 (5) VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2 (5) Salassapito-
LisätiedotTIETOTURVA- POLITIIKKA
TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...
LisätiedotSisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17
Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on
LisätiedotTeknisen ICT-ympäristön tietoturvataso-ohje
VALTIOVARAINMINISTERIÖ JulkICT-toiminto Ver 1.0 25.10.2011 Teknisen ICT-ympäristön tietoturvataso-ohje Valtionhallinnon tietoturvallisuuden johtoryhmä LUONNOS x/2011 Teknisen ICT-ympäristön tietoturvataso-ohje
Lisätiedot1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus
1 (6) VALTIMON KUNTA Tietoturva- ja tietosuojapolitiikka Kunnanhallitus 11.6.2018 86 2 (6) Sisällys Johdanto.. 3 Käsitteet.. 3 Tavoitteet 4 Toteutus.. 4 Organisointi ja vastuut.. 4 Riskienhallinta 5 Seuranta
LisätiedotNurmeksen kaupungin tietoturva- ja tietosuojapolitiikka
1 (5) Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka Sisällys Johdanto... 2 Käsitteet... 2 Tavoitteet... 3 Toteutus... 3 Organisointi ja vastuut... 4 Riskienhallinta... 4 Seuranta ja valvonta...
LisätiedotSuorin reitti Virtu-palveluihin
Suorin reitti Virtu-palveluihin Haka- ja Virtu-seminaari 9.2.2011 Hannu Kasanen, Secproof Finland Secproof Finland Noin 15 hengen konsultointi- ja asiantuntijapalveluita tarjoava yritys Perustettu vuonna
LisätiedotPIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA
PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN
LisätiedotSähköi sen pal l tietototurvatason arviointi
Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein
LisätiedotTIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA
TTL 60 vuotta Roadshow, Tampere 5.11.2013 TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA Antti Pirinen, Tietoturva ry Antti Pirinen Tietoturva ry Hallituksessa 2009 -> Sihteeri 2013 Työkokemus: 2012 -> KPMG:n
LisätiedotLuonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi
Lshp Lausunto 01.10.2018 Asia: VM183:00/2017 ja VM/1631/03.01.00/2018 Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi Lausunnonantajan
LisätiedotSISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE
SM050:00/2011 1 (6) Viite: SM:n tietoturvallisuuden ohjausryhmän asettamispäätös SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE 2011-2013 Tausta Valtioneuvosto
LisätiedotTietoturva ja viestintä
Tietoturva ja viestintä 3.11.2015 1 Uhkakuvat muuttuvat - mitä teemme? Ihmisestä tallentuu joka päivä tietoa mitä erilaisimpiin paikkoihin - valtion, kuntien ja yritysten ylläpitämiin rekistereihin. Joka
LisätiedotTietoturvakonsulttina työskentely KPMG:llä
Tietoturvakonsulttina työskentely KPMG:llä Helsingin Yliopisto 28 Helmikuuta 2014 Agenda Agenda Työtehtävistä yleisesti Esimerkkejä Osaamisen/toiminnan kehittäminen 1 Turvallisuuden arviointi / auditointi
LisätiedotJYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA
JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...
LisätiedotPK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi
Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma
LisätiedotSuomen kulttuurilaitokset
Suomen kulttuurilaitokset Kurssi, kevät 2001 Moskovan yliopisto Leena Kononen Tiedonhaku Suomesta Julkisten viranomaisten, valtion ja kuntien keskeiset palvelut sekä keskeiset julkiset tiedot löytyvät
LisätiedotLappeenrannan kaupungin tietoturvaperiaatteet 2016
1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015
LisätiedotLokitietojen käsittelystä
Lokitietojen käsittelystä ylitarkastaja Sari Kajantie/KRP Esityksen lähtökohdista Tavoitteena lisätä ymmärrystä kriteereistä, joilla lokien käsittelytavat tulisi määritellä jotta pystytte soveltamaan käsittelytapoja
LisätiedotUudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan
Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan 10.12.2015 Hannele Kerola Lainsäädäntöneuvos Pääministeri Juha Sipilän hallituksen strateginen
LisätiedotLiite 2 : RAFAELA -aineiston elinkaaren hallinta
RAFAELA-hoitoisuusluokitus-jär je 1 Liite 2 : RAFAELA -aineiston elinkaaren hallinta Ohje: Lomake täytetään Tilaajan toimesta ja palautetaan Toimittajalle käyttöoikeussopimuksen mukana. 1. Aineiston omistajuus
LisätiedotTIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103
TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI Hyväksytty:, asiakohta 28, asiakohta 103 Sisällysluettelo 1. Periaatteet... 3 1.1 Henkilötietojen käsittelyn lainmukaisuus... 3 2. Tietosuojan vastuut ja organisointi...
LisätiedotTIETOTURVATASOVAATIMUKSET HANKINNOISSA
TIETOTURVATASOVAATIMUKSET HANKINNOISSA Mikäli muuta ei mainita, Toimittajan (ei Asiakkaan) tulee suorittaa tässä taulukossa kuvatut toimenpiteet, jotka kohdistuvat hankinnan kohteeseen eli palveluun. Tietoturvatasoj
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet
Valtion tieto ja viestintätekniikkakeskus Valtori Lausunto 07.09.2018 Dnro 110/00.04/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit
LisätiedotTIETOTURVAPOLITIIKKA
TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...
LisätiedotSähköiseen säilytykseen liittyvät organisaation auditoinnit
Sähköiseen säilytykseen liittyvät organisaation auditoinnit Arto Kangas, auditoija & konsultti Netum konsultointi Oy Torstai 29.11.2012 29.11.2012 Arto Kangas, SÄHKE-Expo 1 Arto Kangas Koulutus: Kauppatieteiden
LisätiedotSeuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa
Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa Osallistu keskusteluun, kysy ja kommentoi Twitterissä: #Valtori2015 Tietoturvallisuuden ja
LisätiedotRAKENTAMISEEN LIITTYVIEN SUUNNITTELU- JA KONSULTTIPALVELUJEN TURVALLISUUSSOPIMUS (ESIMERKKI) XX.XX.20 [ASIAKAS] [TOIMITTAJA]
VAHTI 2/2013 liite 7.2 RAKENTAMISEEN LIITTYVIEN SUUNNITTELU- JA KONSULTTIPALVELUJEN TURVALLISUUSSOPIMUS (ESIMERKKI) XX.XX.20 [ASIAKAS] JA [TOIMITTAJA] (Ohje: Tämä on sopimusmalli, joka pitää aina muokata
LisätiedotSuomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!
1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden
LisätiedotSopimuksiin perustuva toiminnan jatkuvuuden hallinta
Sopimuksiin perustuva toiminnan jatkuvuuden hallinta Haasteena verkoston toimintavarmuuden kehittäminen Ohjaus heikkenee Häiriö toimijan toiminnassa vaikuttaa verkoston toiminnan jatkuvuuteen 2 Vaatimuksia
LisätiedotTIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä
TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.
LisätiedotOhje arviointikriteeristöjen tulkinnasta
Ohje 1 (6) 28.10.2015 Ohje arviointikriteeristöjen tulkinnasta Kansalliset arvioinnit 1 Arviointikriteeristöt Lain viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista
LisätiedotTietoturvallisuuden hallintajärjestelmä pähkinänkuoressa
Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?
LisätiedotYritysturvallisuuden perusteet
Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 8. Luento Tietoturvallisuus Tiedon ominaisuudet
LisätiedotValtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta
Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta Kimmo Rousku, VAHTI-pääsihteeri, JulkICT-osasto Esitykseni - viisi
LisätiedotTietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta
Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN
LisätiedotVihdin kunnan tietosuoja- ja tietoturvapolitiikka
Vihdin kunnan tietosuoja- ja tietoturvapolitiikka Kunnanhallitus Kunnan johtoryhmä Sisällys 1 Johdanto... 2 2 Mitä tietosuoja ja tietoturvallisuus ovat?... 2 2.1 Tietosuoja on perustuslain suojaamaa yksityisyyden
LisätiedotMuutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen
1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0
LisätiedotAVAINBIOTOOPPITIEDON SAATAVUUS
AVAINBIOTOOPPITIEDON SAATAVUUS LAINSÄÄDÄNNÖN TARKASTELUA AVOIMUUDEN NÄKÖKULMASTA Minna Pappila OTT, tutkijatohtori Itä-Suomen yliopisto Turun yliopisto ESITYKSEN RAKENNE: Ympäristötiedon avoimuuden merkitys
LisätiedotSiilinjärven kunta ja Valtion IT-palvelukeskus
Valtiokonttori Palvelusopimus 1 (6) Valtion IT-palvelukeskus 354/23/2009..20 PALVELUSOPIMUS Asiointitili-palvelusta Siilinjärven kunta ja Valtion IT-palvelukeskus Siltasaarenkatu 18 20 A, Helsinki PL 14,
LisätiedotValtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä 30.10.2014 Toimitusjohtaja Kari Pessi
Valtori tänään ja huomenna Valtorin strategia Valtorin asiakaspäivä 30.10.2014 Toimitusjohtaja Kari Pessi MUUTOS = MAHDOLLISUUS JA HAASTE On etuoikeus olla toteuttamassa muutosta ja ottaa haaste vastaan.
LisätiedotTietosuoja-asetus Miten julkinen hallinto valmistautuu?
Tietosuoja-asetus Miten julkinen hallinto valmistautuu? 10.5.2017 Sami Kivivasara ValtioExpo Valtiovarainministeriö, Julkisen hallinnon ICT-osasto Tiedon hallinnan muutos Yhteentoimivuus Toimijakohtainen
LisätiedotKäyttöönottosuunnitelma Virtu-kotiorganisaatiolle
Ohje 1 (6) Käyttöönottosuunnitelma -kotiorganisaatiolle Ohje 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen
LisätiedotTIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT
TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET
LisätiedotTALPOL linjaukset 26.11.2012. TORI-toimenpiteet 19.12.2012
TALPOL linjaukset 26.11.2012 TORI-toimenpiteet 19.12.2012 ICT-laitetilojen (konesalien) määrää vähennetään tavoitteena energiatehokkuuden ja ympäristöystävällisyyden parantaminen. Otetaan osaksi TORI-suunnittelua
LisätiedotHELSINGIN JA UUDENMAAN PYSYVÄISOHJE 3 / (5) SAIRAANHOITOPIIRI Yhtymähallinto
HELSINGIN JA UUDENMAAN PYSYVÄISOHJE 3 /2016 1 (5) SALASSA PIDETTÄVIEN ASIAKIRJOJEN LUOKITTELU 1 Johdanto Laissa viranomaisten toiminnan julkisuudesta (21.5.1999/621) on säädetty julkisuusperiaatteesta,
LisätiedotLausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.
Lausunto 07.09.2018 VRK/3920/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan:
LisätiedotTietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus
Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 13.2.2018 Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus Esitykseni sisältö 1) Valtiovarainministeriön rooli 2) Tavoite ja mistä tässä
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano
Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta 11.9.2018 Pauli Kartano Lausuntokierros Linjaukset ja lausunnot nähtävillä lausuntopalvelussa Julkisen hallinnon linjaukset tiedon sijainnista
LisätiedotOULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET
OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET Sisällys SISÄISEN VALVONNAN PERUSTEET... 3 RISKIENHALLINNAN PERUSTEET... 4 1. Johdanto... 4 2. Riskienhallinnan määritelmä ja toteuttamisen
LisätiedotTietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa
Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa 2.10.2017 Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Petri Puhakainen, valtioneuvoston tietoturvapäällikkö Tietoturvallisuuden
LisätiedotTietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus
Tietoturva tulevassa tiedonhallintalaissa ja VAHTI 100 24.9.2018 Kirsi Janhunen, Väestörekisterikeskus Tietoturva tulevassa tiedonhallintalaissa Mikä on VAHTI100? Aiheet Muuttuva tietoturvasäädäntö Tietohallintolaki
LisätiedotHenkilötiedot ja tietosuoja kotipalveluyrityksissä
Henkilötiedot ja tietosuoja kotipalveluyrityksissä Valtakunnalliset kotityöpalvelupäivät 18.1.2013 Otto Markkanen, lakimies Asianajotoimisto Castrén & Snellman 1 TIETOSUOJA? YKSITYISYYS JA HENKILÖTIEDOT
LisätiedotLokipolitiikka (v 1.0/2015)
KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN
LisätiedotKansainvälisen ISO/IEC 27001 sertifioinnin toteuttaminen CSC:llä
Kansainvälisen ISO/IEC 27001 sertifioinnin toteuttaminen CSC:llä Tietoturvapäällikkö Urpo Kaila CSC - Tieteen tietotekniikan keskus Korkeakoulujen IT-päivät 5.11.2013 Sisältö Turvallisuuskatsaus Miten
LisätiedotRÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx
1 RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty: Rääkkylä kunnanhallitus XXXxxx DOKUMENTIN VERSIOTIEDOT Versio Pvm Muutosten kuvaus Tekijä 1 21.3.2018 Tietosuojaryhmä käsitellyt Raita
LisätiedotTOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI
TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI SELONTEKO EU:N TIETOSUOJA-ASETUS GDPR:N VAATIMUSTEN TOTEUTTAMISTAVOISTA ITPOINT OY:SSA ITpoint Oy toimittaa asiakkaansa
LisätiedotTurvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman
Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen
LisätiedotTietoturvaa verkkotunnusvälittäjille
Tietoturvaa verkkotunnusvälittäjille Verkkotunnusvälittäjän tietoturvaa Verkkotunnusmääräyksen 68/2016 mukaan verkkotunnusvälittäjän on huolehdittava toimintansa tietoturvasta Varmistutaan siitä, että
LisätiedotTietoturva- ja tietosuojapolitiikka
HYRYNSALMEN KUNTA Tietoturva- ja tietosuojapolitiikka voimassa 1.9.2018 alkaen luonnos 9.8.2018 Hyrynsalmen kunta Tietoturva- ja tietosuojapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvallisuus...
LisätiedotTietosuoja-asetus Immo Aakkula Arkistointi
Tietosuoja-asetus Immo Aakkula 31.10.2017 Arkistointi Tietosuoja-asetus arkistointi Lähtökohdat Henkilötietolaki poistuu 25.5.2018 Asetus koskee keskeisimmiltä osin suoraan arkistoja Asetusta täydennetään
LisätiedotTERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA
TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön
LisätiedotTietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.
Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti
Lisätiedot