Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Transkriptio

1 1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden nykytilaa. Vastaamiseen kuluu aikaa arviolta yksi (1) tunti. Huomioithan, etteivät antamasi vastaukset sisällä salassa pidettäviä tietoja. Vastausaika päättyy klo 15.

2 2(16) Sivu 1: Ohje vastaajalle Vastatkaa nykytilannetta vastaavan mielikuvanne mukaisesti. Jos kysyttyä asiaa ei esiinny ollenkaan toiminnassa, niin vastaus on. Jos kysyttyä asiaa on havaittavissa ainakin joissain määrin, vastaus on ja tarvittaessa voitte tarkentaa vastauksianne kyselyn lopussa olevassa vapaatekstikentässä. Vastauksien ei tule sisältää salassa pidettävää tietoa.

3 3(16) Sivu 2: 1.1 Taustatiedot = Kysymykseen on pakko vastata Vastaajaorganisaatio Kunta tai kaupunki Vastausten yhdyshenkilö Nimi Tehtävä- tai virkanimike Sähköpostiosoite

4 4(16) Sivu 3: 1.2 Tietoturvallisuuden hallinta ja johtaminen 2015 = Kysymykseen on pakko vastata Käsitteleekö organisaation ylin johto tietoturvaan tai kyberturvaan liittyviä asioita johtamistyössään? 1.2.1B Onko organisaatiollanne arkistonmuodostussuunnitelma, joka sisältää ohjeet aineistojen hävittämiseen? (tai tiedonohjaussuunnitelma TOS), sähköinen arkistomuodostussuunnitelma Onko organisaatiolla käytössä organisaatiotason riskienhallintamenetelmä (asiakirja jossa on kuvattu riskienhallintaan liittyvät periaatteet) ja säännöllinen riskiraportointi johdolle? Jos kyllä: Minä vuonna vahvistettu? 1.2.2B Arvioidaanko asiakasrajapintoihin liittyviä riskejä? (asiointiportaalit, palvelutilanteet ja muut asiakkaan kohtaamiset) Onko organisaatiolla johdon hyväksymä ja säännöllisesti arvioitu tietoturvatoimintamalli tai muu vastaava yleiskuvaus tietoturvaperiatteista? (Esimerkiksi tietoturvapolitiikka) Jos kyllä: Minä vuonna vahvistettu? Onko organisaatioon nimetty tietoturvavastaava, jonka työnkuvassa on mainittu tietoturvavastuut? Jos kyllä: Tehtävä- tai virkanimike:, osapäivätoiminen, kokopäivätoiminen Organisaatiossa tehdään säännöllisesti kyber- ja tietoturvallisuuteen liittyvää riskien arviointia?

5 5(16) Jos kyllä: Minä vuonna arvioitu viimeksi? Tieto- ja kyberturvallisuudesta raportoidaan organisaation johdolle säännöllisesti? 1.2.6B Lisäkysymys 1.2.6B Raportointimenettely on kuvattu kirjallisesti

6 6(16) Sivu 5: 1.2 Tietoturvallisuuden hallinta ja johtaminen 2015 = Kysymykseen on pakko vastata Tietoturvapoikkeaminen käsittely on organisoitu ja vastuutettu? Vakavista tietoturvapoikkeamista kerrotaan organisaation johdolle viivytyksettä? Onko organisaatio tunnistanut, että siihen tai sen vastuulla oleviin toimintoihin kohdistuu pakollinen (lakisääteinen,sopimusperustainen) tietoturvaloukkausten ilmoitusvelvollisuus. Jos : Mitkä toiminnot, mihin ilmoitetaan? Onko organisaatiolla ICT-jatkuvuussuunnitelma? Jos kyllä: Minä vuonna vahvistettu? Onko organisaation ICT-jatkuvuussuunnitelmaa harjoiteltu? Jos kyllä: Minä vuonna harjoiteltu viimeksi? Onko organisaatiolla ICT-valmiussuunnitelma? Jos kyllä: Minä vuonna vahvistettu? Onko organisaatiolla ICT-toipumissuunnitelmia? Jos kyllä: Minä vuonna vahvistettu? Onko organisaation tietoturvavastuut kuvattu tehtäväkuvauksissa? Jos kyllä: Minä vuonna?

7 7(16) Organisaation tietoturvaohjeisto on sisällöltään: Keskeiset alueet kattava? Jos kyllä: Minä vuonna kattavuus on arvioitu? Toimiiko organisaatiossa eri toiminnot kattava tietoturvallisuuden yhteistyöryhmä? (esimerkiksi johtoryhmä) Jos kyllä: Minä vuonna käynnistetty? Organisaatiossa on tiedossa, missä verkostoissa organisaatio on mukana sekä mitä alihankkijoita ja yhteistyökumppaneita sen tietojen kanssa toimii missäkin roolissa? Jos kyllä: Minä vuonna alihankkijat tarkasteltu? Käsitelläänkö johdon sisäisen valvonnan ja riskienhallinnan arviointi- ja vahvistuslausumassa tietoturvariskejä? Onko organisaatiolla tiedossaan, mitä lokeja organisaation tietojärjestelmät, ohjelmistot ja laitteet keräävät?

8 8(16) Sivu 6: 1.3 Tietoturvaongelmat 2015 = Kysymykseen on pakko vastata Onko havaittu erityistoimenpiteitä aiheuttaneita ulkopuolisia hyökkäyksiä? Mitä keinoja organisaatio käyttää kyber- ja tietoturvahyökkäysten havaitsemiseksi? Minkä tyyppisiä tietoturvapoikkeamia organisaatio on havainnut toiminnassaan?

9 9(16) Sivu 7: 1.4 Tietotekninen tietoturvallisuus vuonna 2015 = Kysymykseen on pakko vastata Onko erilliset tietojenkäsittelyn toimintaympäristöt ja niihin kuuluvat järjestelmät ja toiminnot tunnistettu? Onko organisaation keskeisten tietojärjestelmien tietoturvallisuus arvioitu? Organisaatiossa on tunnistettu ja eriytetty tietoverkon eri suojaustasoa vaativat osat ja eri suojaustason verkkojen välistä liikennettä rajoitetaan ja suodatetaan? Estetäänkö organisaatiossa teknisesti huonolaatuisten salasanojen käyttö? Tässä hyvälaatuisiksi salasanoiksi määritellään vähintään 10 merkin mittaiset erilaisia merkkijoukkoja sisältävät salasanat Organisaatiossa on sovittu käyttövaltuuksien hallintaperiaatteet? Tunnusten ja valtuuksien myöntö, muuttaminen ja poisto on organisoitu ja vastuutettu käyttövaltuuksien hallintaperiaatteiden mukaisesti? 1.4.6B Valvotaanko pääkäyttäjätunnuksien (root, superuser, admin, tai muu sellainen) käyttöä erityisesti? Organisaatiossa on vastuutettu varmuuskopioiden ottaminen sekä tunnistettu varmuuskopioinnin kannalta suojattavat kohteet ja otetaan varmuuskopioita suunnitelmallisesti? Käytetäänkö organisaatiossanne: Haittaohjelmatarkastusta saapuville html-sivuille Tunkeutumisen havaitsemisjärjestelmiä IDS tai vastaava? Salausteknologiaa sähköpostiviestinnän ja viestinvälityksen suojaamisessa

10 ) 10(16 Salausteknologiaa tiedostojen, hakemistojen ja kovalevyjen suojaamisessa Käyttöoikeuksien hallintajärjestelmää (IDM / IAM)? mitään näistä Jos organisaatiossanne käytetään salausteknologiaa sähköpostiviestinnän ja viestinvälityksen suojaamisessa, kuinka monta käyttäjää? Jos organisaatiossanne käytetään salausteknologiaa tiedostojen, hakemistojen ja kovalevyjen suojaamisessa, kuinka monta käyttäjää? Jos organisaatiossanne käytetään käyttöoikeuksien hallintajärjestelmää (IDM / IAM), minkälaisiin kohteisiin ja järjestelmiin? Onko organisaatiolla päätelaitteiden hallintamalli, joka kattaa myös mobiilipäätelaitteet, kuten älypuhelimet ja tabletit? (pelkät puhelimet eivät sisälly tähän, mutta älypuhelimet ja tabletit sisältyvät) Käytössä olevien päätelaitteiden kokonaislukumääräarvio Suojausratkaisuja sisältävien päätelaitteiden lukumäärä 1.4.9B Onko kaikissa mobiilipäätelaitteissa suojausratkaisu? Onko organisaatiolla henkilöstön tiedossa oleva, johdon hyväksymät käyttöperiaatteet, joissa linjataan sähköpostien pelisäännöt? Työntekijöiden tekninen valvonta on käsitelty YT-menettelyn mukaisesti (Laki yksityisyyden suojasta työelämässä)? B Viestintään liittyvien välitystietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt on käsitelty yhteistoiminnassa tietoyhteiskuntakaaren mukaisesti?"

11 ) 11(16 Sivu 8: 1.6 Tietoturvallisuuteen käytetyt resurssit organisaatiossanne 2014 = Kysymykseen on pakko vastata Resurssiarviot Arvio siitä, kuinka paljon organisaatiossa panostettiin henkilötyöpäiviä ja varoja tietoturvallisuuteen ja ICT-varautumiseen htp Kuinka paljon henkilötyöpäiviä ja varoja tietoturvallisuuden haavoittuvuuksien korjaamiseen on käytetty? htp Kuinka monta henkilötyöpäivää ja kuinka paljon varoja on käytetty tietoturvallisuuden koulutukseen? htp Kuinka paljon henkilötyöpäiviä ja varoja tietoturvallisuuden arviointiin on käytetty? htp

12 ) 12(16 Sivu 9: 1.7 Henkilöstöturvallisuus 2015 = Kysymykseen on pakko vastata Sisältävätkö tietoturvasuunnitelmat varautumisen sisäpiiriuhkiin, jotka aiheutuvat omasta henkilöstöstä tai palvelutoimittajien henkilöstöstä? Onko organisaatiossanne käytössä turvallisuusselvitysmenettely? 1.7.2B Onko organisaatiossanne käytössä tietoturva- ja tietosuojasitoumus tai vastaava henkilöstöä koskeva sitoumus? 1.7.2C Onko organisaatiossanne käytössä etätyön ohjeet, jossa ohjeistetaan tietoturvallisista toimintatavoista ja oman talon tietoteknisistä pelisäännöistä? Onko organisaationne sopimuksissa sovittu turvallisuusselvityksien tekemisestä palveluntoimittajista? Onko organisaationne sopimuksissa käytössä vaitiolositoumuksia palveluntoimittajista? (tietoturva- ja tietosuojasitoumus tai vastaava ulkopuolisia palvelutuottajia koskeva sitoumus) 1.7.4B Millä tavoilla organisaationne varmistaa sopimuksissa mahdollisten pitkienkin alihankintaketjujen (tieto)turvallisuuden? Alihankkijat hyväksytetään teidän organisaatiolla Alihankkijoiden toiminnan tarkastamisoikeudesta sovitaan jo osana palvelusopimusta Muu keino, mikä: Arvioidaanko organisaatiossanne tietoturvaosaamista tulos- ja kehityskeskusteluissa tehtäviin nähden? Koskee turvallisuushenkilöstöä Koskee ICT-henkilöstöä Koskee johtoa/esimiehiä Koskee koko henkilöstöä

13 ) 13(16 Sivu 10: 1.8 Kyberturvallisuus 2015 = Kysymykseen on pakko vastata Toimintayksiköiden ja organisaation tietohallinnon (tai vastaavan) välinen yhteistyö häiriötilanteessa Toimintayksikön ja organisaation tietohallinnon (tai vastaavan) välistä yhteistoimintaa ei ole suunniteltu toimintayksikön toimintaa haittaavien vakavien tietoteknisten häiriöiden varalle. Kun tietotekninen häiriö havaitaan, käynnistyy organisaation tietohallinnon (tai vastaavan)toimesta selvitys häiriön luonteesta. Tiedostetaan tietoteknisen häiriön vaikuttavan liiketoimintaan (sisäiset ja ulkoiset asiakkaat). Saattaa olla tiedostettu tarve täsmentää organisaation tietohallinnon (tai vastaavan) toiminnan jatkuvuuden turvaavat tietotekniset tehtävät, menettelyt ja tekniset ratkaisut. Vakavassa tietoteknisessä häiriötilanteessa toimitaan toimintayksikön ja organisaation tietohallinnon (tai vastaavan) kesken sovitun toimintatavan mukaisesti. Toimintayksikön ja organisaation tietohallinnon (tai vastaavan) kesken on tunnistettu vakavassa häiriötilanteessa suorittamatta jäävien liiketoimintatehtävien merkitys liiketoiminnalle (sisäisille tai ulkoisille asiakkaille) ja arvioitu häiriön aiheuttamat kustannukset. Vakavassa tietoteknisessä häiriötilanteessa toimintayksikön jaorganisaation tietohallinnon (tai vastaavan) jatkuvuussuunnitelmat ohjaavat yhteistoimintaa. Suunnitelmat sisältävät toiminnan ohjaamisen ja vahinkojen rajoittamisen toimenpiteet, toteutettavat toimintayksikön liiketoimintatehtävät (ml. välineet) ja organisaation tietohallinnon (tai vastaavan) tehtävät sekä tarvittavien muiden toimintayksiköiden, tukitoimintayksiköiden ja ulkoisten toimijoiden tehtävät (ml. välineet). Tehtävät ovat vastuutettu. Tilanteen selvittämiseksi on riittävästi päteviä henkilöitä. Vastaava häiriö pyritään jatkossa ehkäisemään. Vakavassa tietoteknisessä häiriötilanteessa toimintayksikön ja organisaation tietohallinnon (tai vastaavan)yhteistoiminnan jatkuvuus varmistetaan jatkuvuussuunnitelmiin dokumentoiduilla ja käyttöönotetuilla toimenpiteillä. Keskinäinen yhteistoiminta ja muu yhteistoiminta tarpeellisten toimintayksiköiden, tukitoimintayksiköiden ja ulkoisten toimijoiden kanssa on selvästi määritelty. Toimintayksikkö ja organisaation tietohallinnon (tai vastaavan) ovat tietoisia toistensa tehtävistä ja jatkuvuudenhallinnan menettelyistä. Häiriön aikaansaanut syy pyritään poistamaan välittömästi. Vakavassa häiriötilanteessa toimintayksikön ja organisaation tietohallinnon (tai vastaavan)yhteistoiminnan jatkuvuus kyetään varmistamaan säännöllisesti arvioiduilla ja harjoitelluilla toimintayksikön ja organisaation tietohallinnon (tai vastaavan) sekä muiden tarvittavien ulkoisten toimijoiden jatkuvuudenhallinnan menettelyillä liiketoimintavaikutukset (ulkoiset ja sisäiset asiakkaat) minimoiden.

14 ) 14( ICT-varautuminen ICT-varautumisen ja jatkuvuudenhallinnan (mm. harjoitusten, ohjeiden, toimintatapojen, järjestelyjen tai teknisten ratkaisujen) kehittämishankkeista ei ole näyttöä tai hankkeet ovat puhetasolla. ICT-varautumisen ja jatkuvuudenhallinnan (mm. harjoitusten, ohjeiden, toimintatapojen, järjestelyjen tai teknisten ratkaisujen) kehittämishankkeista on jonkin verran näyttöä. On esimerkiksi tunnistettu tietotekniikkaan ja /tai automaatiojärjestelmiin liittyviä riskejä. ICT-varautumisen ja jatkuvuudenhallinnan (mm. harjoitusten, ohjeiden, toimintatapojen, järjestelyjen tai teknisten ratkaisujen) kehittämishankkeista on näyttöä. Toiminta on ohjeistettu tai on suunniteltu vaihtoehtoiset toimintatavat häiriötilanteen varalle. Tietoteknisen toimintavarmuuden ja jatkuvuudenhallinnan kehittämishankkeista on selvää näyttöä. Toimintatapoja, järjestelyjä ja teknisiä ratkaisuja kehitetään systemaattisesti. Esimerkiksi arviointien perusteella on kehitetty tietoteknisten kumppaneiden kanssa sopimuksissa sovittuja jatkuvuudenhallinnan menettelyjä. ICT-varautumisen ja jatkuvuudenhallinnan kehittämishankkeista on laajaalaista näyttöä. Harjoituksia, ohjeita, toimintatapoja, järjestelyjä ja teknisiä ratkaisuja kehitetään systemaattisesti. Esimerkiksi harjoitusten avulla on kehitetty tietoteknisten kumppaneiden kanssa sopimuksissa sovittuja jatkuvuudenhallinnan menettelyjä Yhteistoiminta Tietoverkon hyökkäystilanteiden varalle ei ole tarvittavien osapuolten kanssa sovittua toimintatapaa. Häiriötilanteessa tarvittavien osapuolten (organisaation sisäiset resurssit, asiakkaat, viranomaiset, laite- ja ohjelmistotoimittajat sekä asiantuntijapalveluita tarjoavat organisaatiot) välistä yhteistoimintaa ei ole ohjeistettu. Osapuolten vastuuhenkilöt on tunnistettu. Yhteistoimintamalli on keskusteltu kunkin osapuolen kanssa. Toiminta keskittyy ICT-järjestelmien hallintaan. Häiriötilanteita varten on kuvattu yhteistoimintamalli (organisaation sisäiset resurssit, asiakkaat, viranomaiset, laite- ja ohjelmistotoimittajat sekä asiantuntijapalveluita tarjoavat organisaatiot) ja siitä on sovittu kunkin osapuolen kanssa. Yhteistyötahot on velvoitettu vastuuttamaan ja ohjeistamaan vastuuhenkilönsä toimimaan tilanteessa. Häiriötilanteessa yhteistyötahot toimivat aktiivisesti ohjeittensa mukaan. Yhteistoimintamallit kattavat ICTjärjestelmien lisäksi tuotannon ja tuotannonohjauksen mm. prosessinohjauslaitteet ja järjestelmät. Tilanteen selvittämiseksi on riittävästi päteviä henkilöitä. Vastaava häiriö pyritään jatkossa ehkäisemään. Yhteistyötahojen kanssa harjoitellaan säännöllisesti häiriötilanteen johtamista, häiriön aikaista toimintaa, tilannetiedon muodostamista ja sen raportointia. Häiriötilanteen johtamista ja osapuolten ohjeita ja toimintatapoja kehitetään harjoitusten perusteella. Tulokset ja jatkotoimenpidesuositukset raportoidaan ylimmälle johdolle. Häiriön aikaansaanut syy pyritään poistamaan välittömästi.

15 ) 15(16 Yhteistoiminta eri osapuolten kanssa häiriötilanteessa on jatkuvan parantamisen kohde. Häiriötilanteen hallinnan toimintamallia arvioidaan välittömästi tapahtuneiden tilanteiden jälkeen ja vähintään vuosittain. Häiriön hallintaa kehitetään systemaattisesti tulosten perusteella.

16 ) 16(16 Sivu 11: Muita huomioita, palautetta Lähetä Kiitos vastauksista!