Teknisen ICTympäristön

Koko: px
Aloita esitys sivulta:

Download "Teknisen ICTympäristön"

Transkriptio

1 Teknisen ICTympäristön tietoturvataso-ohje Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2012 VAHTI

2

3 Teknisen ICT-ympäristön tietoturvataso-ohje Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2012 VAHTI

4 VALTIOVARAINMINISTERIÖ PL 28 (Snellmaninkatu 1 A) VALTIONEUVOSTO Puhelin (vaihde) Internet: Taitto: Pirkko Ala-Marttila / VM-julkaisutiimi ISSN (nid.) ISBN (nid.) ISSN (PDF) ISBN (PDF) Suomen Yliopistopaino Oy - Juvenes Print, 2012

5 VALTIOVARAINMINISTERIÖ Julkisen hallinnon ICT-toiminto VM/1991/ /2012 OHJE Ministeriöille, virastoille ja laitoksille TEKNISEN ICT-YMPÄRISTÖN TIETOTURVATASO OHJE Asetus tietoturvallisuudesta valtionhallinnossa (681/2010) tuli voimaan Tämä tekninen ohje on osa asetuksen täytäntöönpanon ohjausta yhdessä asetuksen täytäntöönpano-ohjeen VAHTI 2/2010 sekä sisäverkko-ohjeen VAHTI 3/2010 kanssa. Ohje on suunnattu valtionhallinnon ICT- ja tietoturvahenkilöstölle tietoturvatasojen teknisen toteuttamisen tueksi. Ohjeeseen sisältyy teknisen tietotekniikkaympäristön vaatimusten kuvauksia sekä esimerkkejä ja kilpailuttamiseen liittyviä tietoturvanäkökohtia koskien ICT-palveluja. Ohjeeseen liittyy myös työvälineitä, joita toimijat voivat hyödyntää tuottaessaan tai hankkiessaan ICT-palveluita. Valtionhallinnon organisaatioiden tulee ulottaa tietoturvallisuustasojen vaatimukset sekä sisäisiin että ulkoisiin palvelutoimittajiin. Lisätietoja antavat tietoturvallisuusasiantuntija Aku Hilve ja tekninen päällikkö Aarne Hummelholm Julkisen hallinnon ICT-toiminnossa. Hallinto- ja kuntaministeri Henna Virkkunen Yksikön päällikkö Mikael Kiviniemi VAHTIn puheenjohtaja Liite: Teknisen ICT-ympäristön tietoturvataso ohje (VAHTI 3/2012)

6

7 Lyhyesti VAHTIsta Valtiovarainministeriö ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden linjaukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa. VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta. VAHTI edistää hallitusohjelman, Yhteiskunnan turvallisuusstrategian (YTS), JulkICTstrategian, valtioneuvoston huoltovarmuuspäätöksen, kansallisen tietoturvastrategian, valtioneuvoston periaatepäätöksen valtion tietoturvallisuuden kehittämisestä ja hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä valtion tietoturvallisuutta ja siihen liittyvää yhteistyötä. Valtioneuvosto teki periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä. Periaatepäätös korostaa VAHTIn asemaa ja tehtäviä hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elimenä. Peiaatepäätöksen mukaisesti hallinnonalat kohdistavat varoja ja resursseja tietoturvallisuuden kehittämiseen ja VAHTIssa koordinoitavaan yhteistyöhön. VAHTI toimii hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta astaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä sekä edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä. VAHTIn toiminnalla parannetaan valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on aikaansaatu yksi maailman kattavimmista yleisistä tietoturvaohjeistoista (www.vm.fi/vahti). VM:n ja VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishankkeita sekä laaja valtion tietoturvallisuuden kehitysohjelma. VAHTI on saanut kolme kertaa tunnustuspalkinnon esimerkillisestä toiminnastaan Suomen tietoturvallisuuden parantamisessa.

8

9 Sisältö Lyhyesti VAHTIsta Johdanto Sanasto Rajaukset Lukuohje Keskeiset vaatimukset ICT-ympäristön tietoturvallisuuden toteuttamiseksi Tietoturvallisuusasetuksen vaatimukset tietoturvallisuudelle Tietoturvallisuusasetuksen vaatimusten toteuttaminen organisaatiossa Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä Tietoaineistojen käsittely ja luokittelu Tietoturvatasot Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Suojattavien kohteiden määritteleminen Suojattavien kohteiden määrittämisessä huomioitavaa Tietoturvallisuusasetuksen vaatimukset Miten suojattavien kohteiden rajaus tulisi suorittaa? Järjestelmän tärkeysluokka Vaatimukset tekniselle tietotekniikkaympäristölle Yleisiä vaatimuksia Työasemat ja päätelaitteet Kaikissa päätelaitteissa sekä palvelimissa huomioitavia seikkoja Kannettavissa päätelaitteissa huomioitavia seikkoja Pääteistunnoissa huomioitavia seikkoja Erityisesti huomioitavia teknisiä ratkaisuja Käyttäjän tunnistaminen Tietojen salaaminen Tulostinjärjestelmät ja tulostaminen Palveluiden etäkäyttö...51

10 4.4 ICT-palveluiden tuottaminen Itse ylläpidetty vai ulkoistettu ICT-palvelu? XaaS palveluiden tuotantomalleina Palveluiden tuotantomallit Esimerkkejä palveluiden luokittelusta Esimerkki perustason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä organisaation julkinen www-palvelin Esimerkki korotetun tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä organisaation ydintoimintaa tukeva järjestelmä 1/ Esimerkki korkean tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä organisaation ydintoimintaa tukeva järjestelmä 2/ Esimerkki korkean tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä erillisverkkoratkaisu ICT-palvelun kilpailuttamisessa huomioitavaa tietoturvallisuuden osalta Työkalut ja muut ohjeen käyttöönottoa tukevat apuvälineet Liite 1: Salassa pidettävien asiakirjojen ja tietojen käsittelyvaatimukset (yleiset + koko elinkaarta koskevat vaatimukset) Liite 2: TTT - Tietoturvallisuuden hallinnan vaatimukset Liite 3: TTT - Tietojärjestelmien hallinnan vaatimukset Liite 4: Tärkeysjärjestys-apuväline Liite 5: Järjestelmien välinen riippuvuus työkalu Liite 6: Palveluiden tuottamisen valinta apuväline Liite 7: Etäkäytön tekniset vaatimukset -työkalu Liite 8: Ympäristön ja järjestelmien kuvauksen-apuväline Kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyohje...82 Liite 1 Voimassa olevat VAHTI -julkaisut...84

11 11 1 Johdanto Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa astui voimaan Sitä täydentävä VAHTI-ohje 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta julkaistiin Nämä kaksi asiakirjaa muodostavat valtionhallinnolle keskeisen rungon tietoturvallisuuden toteuttamiseksi tietoaineistojen käsittelyssä. Tämä ohje on laadittu kuvaamaan yksityiskohtaisemmin tietoaineistojen käsittelyyn sen elinkaaren eri vaiheissa sekä tietoturvatasoihin (TTT) liittyviä teknisiä vaatimuksia. Ohjeessa esitetään hyviä käytäntöjä sekä tarkennetaan tietoturvatasojen vaatimuksia, jolloin niitä voidaan helpommin soveltaa valtionhallinnossa käytössä oleviin tai tuleviin prosesseihin sekä teknisiin ratkaisuihin. Tietoaineistojen käsittelyyn liittyvien ohjeiden lisäksi VAHTI 2/2010 -ohje sisältää liitteessä 5 Tietoturvallisuustasojen yksityiskohtaiset vaatimukset, tarkempia kontrollivaatimuksia, jotka jakaantuvat kahteen osaan; Tietoturvallisuuden hallinnan vaatimuksiin ja Tietojärjestelmien hallinnan vaatimuksiin. Vaikka niissä kuvataankin tietojärjestelmiin kohdistuvia vaatimuksia, niin ne kohdistuvat myös tietojärjestelmien hallinnan menettelyihin, prosesseihin ja vastuisiin ja näin ollen osa vaatimuksista on luonteeltaan hallinnollisia. Edellä mainittujen ohella tietoturvallisuuteen liittyy muita vaatimuksia, jotka kaikki yhdessä aiheuttavat organisaatiolle tarpeen kehittää ja ylläpitää omaa tietoturvallisuuttaan. Muut vaatimukset johtuvat organisaation toiminnan luonteesta tai ne ovat muun lainsäädännön tai sopimuskumppaneiden asettamia, esimerkiksi: Laki viranomaisten toiminnan julkisuudesta (621/1999) ja Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011) Laki tietoturvallisuuden arviointilaitoksista (1405/2011) Viranomaisen tulee huolehtia kaikkien velvoitteiden toteutumisesta myös ulkoistaessaan toimintoja ulkopuoliselle yritykselle tai ostaessaan niiltä palveluita. Ulkoistuskumppanille ja sen alihankintaverkostolle tulee kohdistaa samat vaatimukset kuin ulkoistavalle viranomaiselle teknisen tietotekniikkaympäristön toteuttamisessa.

12 12 Osana tietoturvallisuuden hallintajärjestelmän ja yksittäisten suojattavien kohteiden kehittämistä vastaamaan tietoturvatasojen vaatimuksia, organisaation tulee tarkkaan etukäteen selvittää ja rajata, miten se toteuttaa perus- ja korotetun tietoturvatason tekniset ympäristöt. Samassa yhteydessä organisaation tulee selvittää, onko heillä sellaisia suojattavia kohteita, jotka edellyttävät virallista tarkastusta ja hyväksyntää Viestintäviraston toimesta ja mikäli sellaisia on, minkä vaatimus- tai auditointikriteeristön mukaisesti auditointi tullaan kohteeseen suorittamaan. Täten oikeaoppisella ennakkosuunnittelulla huolehditaan vaadittavan tietoturvatason toteuttamisesta kustannustehokkaasti sekä kesällä 2012 voimaan astuneet lait huomioiden. Kuva 1. Organisaation tietoturvallisuuteen vaikuttavat useat eri tekijät, joista osa on lainsäädännöllisiä ja osa tulee esimerkiksi ohjeiden ja sopimusvelvoitteiden kautta. Entistä tärkeämpiä ovat organisaation ydintoiminnan asettamat toiminnan jatkuvuuteen ja tiedon turvaamiseen liittyvät vaatimukset, joiden merkitys korostuu yhteiskunnan palveluiden sähköistyessä. Ydintoiminnan (liiketoiminnan) vaatimukset Organisaation tietoturvallisuus Lainsäädäntö Sopimukset sekä muut velvoitteet Suositukset ja muut ohjeet Keskeisiä esimerkkejä edellä mainittuihin kohtiin Henkilötietolaki Sähköisen viestinnän tietosuojalaki Julkisuus -laki ja tietoturvallisuusasetus Yhteiskunnan turvallisuusstrategia Turvallisuussopimukset Kv- ja muut sopimukset VAHTIohjeisto KATAKRIauditointikriteeristö Tätä ohjetta täydentämään on laadittu työvälineitä, joiden avulla valtiohallinnossa voidaan yhtenäisesti arvioida suojattavien kohteiden tärkeyttä ja ICT-palveluiden tuotantomallia sekä niiden välisiä riippuvuuksia. Niiden perusteella organisaatio voi rajata niitä vaihtoehtoisia tuotantomalleja, joita se voi käyttää tuottaessaan itse tai hankkiessaan ICTpalveluita markkinoilta. Työväline on hyödyllinen erityisesti tilanteissa, joissa organisaatio ostaa käyttö- tai sovellusylläpitopalveluita kaupalliselta toimittajalta, joka haluaa käyttää palvelun tuottamiseen jaettua kapasiteettia, palvelin- tai työasemavirtualisointia, pilvipalvelua tai sijoittaa niiden tuottamisessa tarvittavia palvelimia, tietovarastoja tai asiantuntijapalveluita Suomen ulkopuolelle.

13 13 Tämä ohje on suunnattu organisaatioiden ICT- ja tietoturvahenkilöstölle sekä muille tietoaineistojen käsittelystä vastaaville henkilöille. Sitä voivat hyödyntää myös palveluita valtionhallinnon organisaatioille tarjoavat toimittajat ja alihankkijat, joiden tulee palveluita tuottaessaan täyttää valtionhallinnon organisaation sen palvelulle asettamat tietoturvavaatimukset. Valmisteltava VAHTIn päätelaitteiden tietoturvaohje sisältää henkilöstölle tarkoitetut ohjeet eri pääteratkaisuja käytettäessä. Ohje keskittyy tietoturvallisuutta ylläpitävien teknisten ratkaisujen toteutukseen ja ohjeen käyttö edellyttää laajemman tietoturvasuunnittelun toteutusta ennen teknistä toteutusta. Tietoturvallisuuden toteuttamista teknillisissä ratkaisuissa ei voida suorittaa mielekkäästi ja kustannustehokkaasti ilman kuvausta organisaation toiminnan tavoitteista ja uhkakuvista. Ohjeen teknisestä luonteesta ja teknologian nopeasta kehittymisestä johtuen ohjetta ja siihen liittyviä Excel-työvälineitä tullaan ylläpitämään ja päivittämään sähköisesti. Tuoreimmat versiot löytyvät sekä Valtiovarainministeriön www-sivuilta fi/13_hallinnon_kehittaminen/09_tietoturvallisuus/02_tietoturvaohjeet_ja_maaraykset/ index.jsp että Valtion IT-palvelukeskuksen työkalupakista. Käyttöoikeuden työkalupakkiin saavat valtionhallinnon tietoturvavastaavat, sitä voi anoa sähköpostitse osoitteesta Kuva 2. Tietoturvallisuus on nimensä mukaisesti organisaatiossa käsiteltävän tiedon suojaamista. Tätä voidaan toteuttaa sekä hallinnollisilla prosesseilla että teknisillä ratkaisuilla. Nämä pitää mitoittaa aina suojattavan kohteen merkityksen mukaa, arvioinnissa pitää käyttää apuna riskienhallintaa. Tässä yhteydessä tulee erityisesti huolehtia tietoaineiston saatavuudesta vaikka tietoaineiston luottamuksellisuuteen liittyisi mahdollisesti tiukkojakin vaatimuksia. Luottamuksellisuus - eheys - saatavuus Suojattava tietoaineisto (data) Tekniset ratkaisut tietoaineiston suojaamiseksi Hallinnolliset prosessit tietoaineiston suojaamiseksi

14 14 Kuva 3. Tietoaineistoa säilytetään tyypillisesti tietovarastossa, esimerkiksi tietokannassa tai muuten palvelimelle tallennettuna. Jotta tietoa voidaan hyödyntää ja käsitellä sekä välittää, edellyttää se paljon muita teknologisia ratkaisuja (päätelaitteet, tietoliikenne, ympäristön fyysinen tietoturvallisuus). Tietovarasto (palvelin, tietokanta) Palvelinympäristön tietoturvallisuus Päätelaiteympäristön tietoturvallisuus Tietoliikenneverkon tarjoama tietoturvallisuus Fyysinen turvallisuus Käyttöoikeudet Käyttäjän tunnistaminen Tietojen salaaminen Tietojen varmistaminen Koventaminen Haittaohjelmatorjunta Tietoturvapäivitykset Lokien hallinta Palomuuri IDS/IPS -järjestelmät Yhdyskäytäväratkaisut Toimitilojen fyysinen suojaus Palvelintilojen olosuhde -valvonta (sähkö, lämpö, kosteus, rikosvalvonta) Kulunvalvonta Tilojen lukitukset Kassakaapit Kuva 4. Tietoaineiston käyttäjällä on erittäin tärkeä rooli tietoturvallisuuden toteutumisessa. Organisaation kannalta kustannustehokkain tapa kehittää tietoturvallisuutta on henkilöstön tietoturvatietoisuuden ja osaamisen kehittäminen. Tietoaineiston käyttäjä (loppukäyttäjä)tai pääkäyttäjä Käyttöoikeuksien hallintaprosessi Henkilöstön koulutus Henkilöstöturvallisuus

15 1.1 Sanasto 15 Etäkäyttö ja etätyö Etäkäytöllä tarkoitetaan tässä ohjekokonaisuudessa organisaation toimitilojen ulkopuolelta tapahtuvaa satunnaista tietojärjestelmien ja palveluiden käyttöä. Tyypillistä etäkäyttöä edustaa sähköpostin ja kalenterin sekä organisaation intranetin / työryhmäpalveluiden hyödyntäminen organisaation tarjoamalla kannettavalla tai älypuhelimella. Etätyö poikkeaa etäkäytöstä siinä, että etätyö on myös luvanvaraista, mutta pohjautuu normaalisti tiettyyn, ennakolta sovittuun työmäärään ja työtehtävään, joka tyypillisesti tehdään kotoa. Teknisesti etätyö ja etäkäyttö voidaan toteuttaa samanlaisille teknisillä ratkaisuilla, lisähaastetta etätyössä tulee mahdollisesti kotona säilytettävien tietoaineistojen säilyttämisen ja käsittelyn osalta. Päätelaite Tässä ohjekokonaisuudessa päätelaite kattaa kaikki tietotekniset laitteet, joilla palveluita ja tietojärjestelmiä käytetään, esimerkiksi pöytäkone, kannettava tietokone, älypuhelin, tabletit, thin client-päätteet sekä muut vastaavanlaiset tietokonemaisesti toimivat laitteet. Suojattava kohde Suojattavalla kohteella tarkoitetaan tässä ohjeessa sitä kokonaisuutta, jonka organisaatio luokittelee tietoturvallisuusasetuksen ja VAHTI 2/2010 -ohjeistuksen mukaisesti jollekin tietoturvatasolle. Suojattava kohde voi olla esimerkiksi tietojärjestelmä, prosessi, fyysinen tila, yksittäinen asiakirja tai työasema, joka on merkityksellinen organisaation toiminnan kannalta. Suojaustaso Katso kohta 2.3. Tietoaineisto Mikä tahansa tieto missä tahansa olomuodossa (esimerkiksi teksti, kuva, ääni) muodostaa tietoaineiston. Synonyyminä käytetään usein termiä asiakirja. Viranomaisen asiakirjalla tarkoitetaan julkisuuslain 5 2 momentin mukaisesti Viranomaisen asiakirjalla tarkoitetaan viranomaisen hallussa olevaa asiakirjaa, jonka viranomainen tai sen palveluksessa oleva on laatinut taikka joka on toimitettu viranomaiselle asian käsittelyä varten tai muuten sen toimialaan tai tehtäviin kuuluvassa asiassa. Viranomaisen laatimana pidetään myös asiakirjaa, joka on laadittu viranomaisen antaman toimeksiannon johdosta, ja viranomaiselle toimitettuna asiakirjana asiakirjaa, joka on annettu viranomaisen toimeksiannosta tai muuten sen lukuun toimivalle toimeksiantotehtävän suorittamista varten.

16 16 Tietojenkäsittely-ympäristö Tietojenkäsittely-ympäristö tarkoittaa tässä ohjeessa organisaation ICT-palveluiden kautta käyttöönsä hankkimaa kokonaisuutta, jonka avulla se tuottaa tarvitsemansa perustietotekniikkaan ja ydintietojärjestelmiin liittyvät kokonaisuudet. Samassa tietojenkäsittelyympäristössä on mahdollista toteuttaa sekä perus- että korotetun tason täyttävät tekniset vaatimukset, mutta tuotettaessa eri tietoturvatasoille sijoitettuja palveluita kohde täytyy pystyä selkeästi rajaamaan ja tarvittaessa auditoinnilla osoittamaan edellytetyn tietoturvatason täyttyminen. Organisaatio voi vastata kokonaan tai osittain kokonaisuuden tuottamisesta itse tai se voi hankkia tarvitsemiaan ICT-palveluita osittain tai kokonaan ulkoistettuna. Ulkoistaminen ei poista organisaation vastuuta huolehtia kokonaisuuden tietoturvavaatimusten täyttämisestä. Tietoturvataso Tietoturva-asetuksessa esitelty ja asetuksen täytäntöönpanoa VAHTI 2/2010 -ohjeessa määritetty taso, jonka organisaation tulee täyttää suojattavan kohteen sekä hallinnollisen että teknisen tietoturvallisuuden osalta. Turvallisuusluokiteltava asiakirja (tietoaineisto) Katso kohta 2.3. Tärkeysluokka Tärkeysluokalla, jossain yhteydessä käytetään myös termiä tärkeys- tai kriittisyysjärjestys, tarkoitetaan tässä ohjeessa ICT-järjestelmän tai muun suojattavan kohteen tärkeyttä organisaatiolle, sen asiakkaille ja sidosryhmille tai koko yhteiskunnalle. Suojattavan kohteen tuottamisessa ja tietoturvavaatimuksissa käytettävät ratkaisut riippuvat tärkeysjärjestyksestä, koska siinä määritellään myös tärkeysluokan ohella edellytettävä tietoturva- ja ICT-varautumisen taso. Erityisesti turvallisuusluokitellun tiedon suojaamisessa korostuu tiedon luottamuksellisuuden säilyttäminen, ja luottamuksellisuuden suojaamiselle asetettavat vaatimukset riippuvat tyypillisesti suoraan tiedon suojaustasosta. Tuleekin huomioida, että vaikka järjestelmän tärkeysluokka olisi järjestelmään kohdistuvista käytettävyysvaatimuksista johtuen korkeampi kuin järjestelmässä käsiteltävän tiedon suojaustasoluokka, edellytettävät luottamuksellisuuteen kohdistuvat suojausmenetelmät eivät tyypillisesti ole tiedon suojaustasoluokkaa korkeampia. Poikkeuksena ovat tilanteet, joissa tiedon kasautumisvaikutus nostaa järjestelmän suojaustasoluokkaa. Kasautumisvaikutuksen seurauksia tiedon suojaamistarpeelle on kuvattu yksityiskohtaisemmin Kansallisessa turvallisuusauditointikriteeristössä (KATAKRI, ks. erityisesti I 401.0).

17 17 Kuva 5. Pienen organisaation tietojenkäsittely-ympäristö saattaa koostua muutamasta ICTpalvelusta, jotka sisältävät vähintään yhtä monta, mutta usein useampia tietojärjestelmiä. Käyttäjän näkemä sähköpostipalvelu sisältää myös kalenterin, joten yksi palvelu sisältää kaksi tietojärjestelmää, sähköpostijärjestelmän ja kalenterijärjestelmän. Asiakastietoja sisältävä järjestelmä on erillinen palvelu. Näiden ohella tarvitaan erillisiä infrastruktuuri- tai muita tukipalveluita, jotka mahdollistavan palveluiden tuottamisen. INTERNET-YHTEYS Tarvittavat infrastruktuuripalvelut 1 tietojenkäsittely-ympäristö 2 ICT-palvelua ja 3 tietojärjestelmää Viestintäratkaisu ICT-palvelu: Sähköposti- ja kalenteritietojärjestelmät Asiakashallintapalvelu Useita suojattavia kohteita 1.2 Rajaukset Tässä ohjeessa keskitytään ensisijaisesti niihin teknisiin ratkaisuihin, joita tarvitaan kansallisten suojaustasojen ST IV, ST III ja ST II -tietoaineistojen käsittelyssä sekä vastaavasti perus-, korotetun ja korkean tietoturvatason tietojenkäsittely-ympäristön toteuttamisessa. Käsiteltäessä kansainvälistä turvallisuusluokiteltua tietoaineistoa, suojattavalle kohteelle edellytetään tyypillisesti viestintäviraston suorittamaa tarkastusta (auditointia) ja hyväksyntää (akkreditointia) Kansallista turvallisuusauditointikriteeristöä (KATAKRI) vastaan. Kansainvälisen turvallisuusluokittelun tietoaineiston osalta KATAKRIa sovelletaan suoraan kahdenvälisten kansainvälisten sopimusten piiriin kuuluviin tietoaineistoihin. KATAKRI:a sovelletaan erityisesti tarkentavana kriteeristönä myös muiden kansainvälisten turvallisuussopimusten (esim. EU:n turvallisuusregiimi) piiriin kuuluviin tietoaineistoihin. KATAKRI:n vaatimustasoja määritettäessä on pyritty huomioimaan keskeisimmät kansainväliset vaatimukset siten, että kotimainen säädöspohja on viime kädessä määräävä tekijä. KATAKRI:ssa kuvatut suojausvaatimukset kattavatkin siten kaikki yleisimmät kansainvälisen ja kansallisen turvallisuusluokitellun tiedon suojausvaatimuksista. Kansallisten verkkojen tietoliikenteen osalta Sisäverkko-ohjeesta (VAHTI 3/2010) löytyy määritykset perus-, korotetun ja korkean tason vaatimuksiksi.

18 Lukuohje Ohje perustuu VAHTI-ohjeeseen 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, johon tulee tutustua ennen tämän ohjeen lukemista. Ennen syvempää lukemista suosittelemme tutustumaan ohjeeseen pintapuolisesti tutkimalla sen kuvitusta sekä luvussa viisi esiteltyjä työvälineitä. Tätä ohjetta hyödynnetään valtiovarainministeriön tuottamissa, Valtiokonttorin Valtion IT-palvelukeskuksen vuosina toteuttamissa tietoturvallisuusasetuksen täytäntöönpanoa tukevissa yhteishankkeissa. Yhteishankkeissa laadittavat asiakirjat, ohjeet ja muu materiaali tarjotaan valtionhallinnon organisaatioiden käyttöön Valtion IT-palvelukeskuksen työkalupakista vaikka organisaatio ei osallistuisikaan yhteishankkeisiin. Ohjeessa käsitellään seuraavia asioita: Luku 2 Keskeiset vaatimukset ICT-ympäristön tietoturvallisuuden toteuttamiseksi mitkä ovat keskeiset vaatimukset, jotka organisaation tulee ottaa huomioon kehittäessään tietoturvallisuuden hallintajärjestelmää Luku 3 Suojattavien kohteiden määritteleminen miten suojattavat kohteet määritellään ja kuinka ne pitää rajata Luku 4 Vaatimukset tekniselle tietotekniikkaympäristölle työasemissa ja päätelaitteissa huomioitavia vaatimuksia palvelimissa ja palveluiden tuotantomallissa huomioitavia vaatimuksia Luku 5 Työkalut ja muut ohjeen käyttöönottoa tukevat apuvälineet lyhyt kuvaus ohjeen mukana seuraavista työkaluista

19 19 2 Keskeiset vaatimukset ICT-ympäristön tietoturvallisuuden toteuttamiseksi Valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010) säädetään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvelvoitteista sekä asiakirjojen luokittelun perusteista ja luokiteltujen asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista. VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta -ohje kuvaa yksityiskohtaisemmin vaatimuksia hyvän tiedonhallintatavan mukaisten toimintaedellytysten toteuttamiseksi organisaatiossa. Myös valtioneuvoston periaatepäätöksessä valtion tietoturvallisuuden kehittämisestä ( ) velvoitetaan valtionhallinnon organisaatioita kehittämään tietoturvatoimintaansa laaja-alaisesti ja huolehtimaan tietoturvallisuudesta kaikessa yhteistyössä palveluiden tuottajien ja muiden sidosryhmien kanssa. Valtioneuvoston periaatepäätöksessä yhteiskunnan turvallisuusstrategiasta (YTS, ) korostetaan sitä, että turvallisuudesta huolehtiminen on valtiovallan keskeisimpiä tehtäviä ja vaaditaan, että valtiohallinnon toimintakykyä pitää pystyä kehittämään myös normaaliolojen häiriötilanteissa. Tätä voidaan edesauttaa toteuttamalla sellaisia ICTpalveluita, jotka täyttävät jatkuvuuden hallinnalle ja tiedon turvaamiselle ohjeessa ICTvarautumisen vaatimukset, VAHTI 2/2012 -ohjeessa asetetut vaatimukset. 2.1 Tietoturvallisuusasetuksen vaatimukset tietoturvallisuudelle Tietoturvallisuusasetuksessa on määritetty kymmenen perustason vaatimusta (5 Tietoturvallisuuden perustason toteuttaminen). Alla on lueteltu nämä vaatimukset ja kuvattu kunkin vaatimuksen osalta ne menettelyt ja välineet, joiden avulla viranomainen voi kyseisen vaatimuksen toteuttaa. Lisää ohjeistusta välineiden ja VAHTI-ohjeiden hyödyntämisestä löytyy ohjeesta VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta. Tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on huolehdittava siitä, että:

20 20 1) viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan; Tietoturvallisuus tulee nähdä toiminnan laatua parantavana tekijänä, johon keskeisesti liittyy riskienhallinta. Tällä tavalla toimimalla huolehditaan siitä, että tietoturvallisuuteen tehtävät taloudelliset ja muut investoinnit kohdistuvat tarkoituksenmukaisiin kohteisiin. Menetelmä tai väline: organisaation oma riskienhallintaprosessi ja -väline tai Valtion IT-palvelukeskuksen tietoturvapalveluiden tuottama prosessiohje ja Excel-työväline. Riskienarviointi tulee sisällyttää organisaation toiminnan ja tavoitteiden kannalta tärkeisiin prosesseihin. Organisaation johdon tulee hyväksyä riskienkäsittelyn tulokset myös ns. jäännösriskin osalta ja vastuuttaa riskienhallintatoimet. Organisaation tulee selvittää oma riskinkantokykynsä. Sovittujen toimenpiteiden toteutusta ja aikataulua tulee valvoa. Lisätietoa ohjeesta VAHTI 3/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa. 2) viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään; Tietoturvallisuuden hoitaminen on osa viranomaisen toiminnan laatua. Vastuu tietoturvallisuudesta on organisaation johdolla, mutta sitä ei voi hoitaa ilman vastuuhenkilöitä ja resursseja. Menetelmä tai väline: riittävä henkilöresursointi ja henkilöiden kattavat tehtäväkuvaukset sekä organisaation johdon hyväksymä tietoturvapolitiikka. Tietoturvavastaavan nimeäminen ja eri toimijoiden vastuiden määrittäminen. Lisää johtamisesta ja vastuista ohjeessa Tietoturvallisuudella tuloksia, Yleisohje tietoturvallisuuden johtamiseen ja hallintaan, VAHTI 3/ ) asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään; Viranomaisten toiminnan kannalta asiakirjojen käsittelyä koskevat tehtävät ja vastuut ovat erittäin keskeisiä. Lainsäädäntö velvoittaa viranomaisia pitämään luetteloa käsiteltävänä olevista asioista sekä määrittelemään asiakirjojen säilytysajat ja -tavat sekä ylläpitämään niistä arkistonmuodostussuunnitelmaa. Menetelmä tai väline: asiakirjahallinnon, diaarin ja tiedonohjaussuunnitelman määrittely, organisaation johdon tekemä päätös tietoaineistojen luokittelemiseksi tietoturvallisuusasetuksen (681/2010) mukaisesti, henkilöiden tehtäväkuvaukset sekä organisaation tietoaineistojen käsittelyä koskeva käsittelyohje, joka huomioi tietoturvallisuusasetuksessa ja VAHTI 2/2010 -ohjeessa olevat vaatimukset. Valtion IT-palvelukeskuksen tietoturvapalveluiden tuottamaa sähköistä koulutusta voidaan käyttää henkilöstön perehdyttämiseen ja tietoaineistojen käsittelyä koskevaa ohjemallia voidaan hyödyntää laadittaessa organisaation omaa ohjetta. 4) tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi; Tietoaineistojen käsittelyssä tulee aina muistaa, että tietoturvallisuus koostuu luottamuksellisuudesta, eheydestä ja saatavuudesta. Jotta nämä osa-alueet voidaan turvata, edellyttää se käsiteltävien tietoaineistojen tärkeyden tunnistamista. Häiriötilanteisiin tulee

21 21 varautua tärkeiden toimintojen jatkuvuussuunnittelun sekä tietojärjestelmien toipumissuunnittelun avulla. Menetelmä tai väline: suojattavat kohteet ja niihin liittyvät tietojärjestelmät ja palvelut / prosessit tärkeysluokitellaan sekä toteutetaan ne suojattavan kohteen edellyttämälle tietoturva- ja ICT-varautumisen tasolle käyttäen hyväksi ohjeita Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010 sekä ICTvarautumisen vaatimukset, VAHTI 2/2012. Normaaliolojen häiriötilanteiden varalle laaditaan tarvittavat ohjeet (jatkuvuus- ja toipumissuunnitelmat koko organisaatiolle ja tärkeysjärjestyksen mukaisille tärkeimmille toiminnoille). Vakavien häiriötilanteiden varalle laaditaan kriisinhallinta- ja kriisiviestintäsuunnitelma. Laaditaan valmiussuunnitelmat ja huoltovarmuuskriittiset organisaatiot laativat lisäksi tarvittavat toimintamallit Yhteiskunnan elintärkeiden toimintojen turvaamiseksi poikkeusoloissa. Valtion IT-palvelukeskuksen tietoturvapalveluiden tuottamia jatkuvuus-, valmius- ja toipumissuunnitelmien asiakirjamalleja voidaan käyttää pohjana, mikäli organisaatiolla on tarvetta laatia tai päivittää omia suunnitelmiaan. 5) asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi; Mitä kriittisemmistä salassa pidettävistä tietoaineistoista on kyse, sitä tärkeämpiä ovat tietoaineistojen luottamuksellisuuden turvaamiseen liittyvät hallinnolliset prosessit ja fyysiset sekä tietotekniset suojausratkaisut. Luokiteltuja tietoaineistoja tulee käsitellä ohjeessa VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta kuvattujen käsittelyvaatimusten mukaisesti. Mikäli tietoaineisto turvallisuusluokitellaan tietoturvallisuusasetuksen 11 mukaisesti, käsittelyssä noudatetaan minimissään vastaavalle suojaustasolle asetettuja vaatimuksia. Käsittelyssä on aina kuitenkin huomioitava myös ne kansainväliset velvoitteet, joihin käsittely perustuu (esim. EU- ja Nato-aineistot sekä kahdenväliset sopimukset). Mikäli tietoaineistot luokitellaan lain kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) mukaisesti, tulee niiden käsittelyssä noudattaa Suomen ja sopimuskumppanin välisen sopimuksen linjauksia. Kansallinen turvallisuusauditointikriteeristö (KATAKRI) on laadittu siten, että sitä noudatettaessa kaikki yleisimmät kansainväliset velvoitteet täyttyvät. Sekä kansallisen että kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyssä on huomioitava, että suojausvaatimukset koskevat kaikkia tiedonkäsittely-ympäristöjä, joissa turvallisuusluokiteltua tietoa käsitellään. Vaatimukset tuleekin huomioida sekä kaikkien organisaation omien ko. tietoa käsittelevien järjestelmien että ulkoistettujen palvelujen osalta. Menetelmä tai väline: organisaation tietoaineistojen käsittely ohjeistetaan sen antamassa tietoaineistojen käsittelyohjeessa. Tietojärjestelmiä käyttävien roolien käyttöoikeudet tulee suunnitella joko kohteittain tai käyttäen keskitettyä käyttövaltuushallintaa (Identity and Access Management, IAM). Eri rooleissa toimivat henkilöt pitää pystyä listaamaan rooleittain ja tietojärjestelmittäin. Esimiehen tulee kehittämiskeskustelussa käydä läpi keskeiset työtehtävät ja niissä tarvittavat käyttäjäroolit sekä käsiteltävien tietoaineistojen luokittelu.

22 22 Organisaation tulee ottaa hankinnoissaan huomioon tietoaineistojen käsittelyltä edellytettävät vaatimukset sekä huomioida ne sopimuksissa. Lisätietoa löytyy ohjeesta Valtion ICT-hankintojen tietoturvaohje, VAHTI 3/2011 ja sen liitteistä. sekä ohjeesta Tunnistaminen julkishallinnon verkkopalveluissa, VAHTI 12/ ) tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä; Turvallisuusjärjestelyt kohdistetaan kaikkiin organisaation omistamiin ja hallinnoimiin tietojenkäsittely-ympäristöihin ja tietojärjestelmiin, ja ne ovat sitä vahvempia mitä kriittisempää tietoa niissä käsitellään. Tässä ohjeessa kuvataan niitä teknisiä ratkaisuja, joiden avulla organisaatio voi toteuttaa siltä edellytetyt riittävät turvallisuusjärjestelyt ja muut toimenpiteet. Menetelmä tai väline: kuten kohdassa viisi. Sen lisäksi tietojärjestelmien pitää tuottaa sellaista lokitietoa, josta niiden käyttöä voidaan tarvittaessa selvittää ja valvoa. Yksittäisten järjestelmien loki voi olla järjestelmäkohtainen, mutta laajemmissa kokonaisuuksissa pitäisi saada käyttöön keskitetty lokien ja tapahtumien hallintapalvelu (Security Information and Event Management, SIEM). Muita suositeltavia toimenpiteitä ovat organisaation itse suorittamat tai kolmansilta osapuolilta hankittavat katselmoinnit ja auditoinnit. Lisätietoa ohjeesta Käyttövaltuushallinnon periaatteet ja hyvät käytännöt, VAHTI 9/ ) asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja; Tietoturvallisuus on laaja-alainen kokonaisuus, jossa ei pidä unohtaa käsittely-ympäristöön ja muuhun fyysiseen tietoturvallisuuteen liittyviä seikkoja. Etätyön ja -käytön yleistyessä vaatimukset tietoaineistojen käsittelyyn ajasta ja paikasta riippumatta kasvavat, joka asettaa myös käytettäville tietojärjestelmille ja teknisille ratkaisuille uudenlaisia vaatimuksia. Menetelmä tai väline: organisaatio täyttää sen toiminnalle asetetun turvaluokituksen mukaiset tilaturvallisuuden vaatimukset ja VAHTI 2/2010 -ohjeen vaatimukset. VAHTI on laatimassa uutta toimitilaturvallisuutta koskevaa ohjetta, joka julkaistaan vuonna Tämän ohjeen liitteessä 1 on yksityiskohtaisempia vaatimuksia fyysisen turvallisuuden toteuttamiseksi. Nämä tulee ottaa huomioon myös palveluita ostettaessa; myös palvelua tuottavan toimittajan ja toimittajan mahdollisten alihankkijoiden tulee täyttää asetetut vaatimukset. Organisaatio luo etätyötä koskevan ohjeistuksen, jolla varmistetaan etätyöpaikassa säilytettävän tietoaineiston tietoturvallisuus. Ohjeen laatimisessa voidaan hyödyntää ohjetta Valtionhallinnon etätyön tietoturvallisuusohje, VAHTI 3/2002 sekä tämän ohjeen liitteessä 7 kuvattuja etätyön teknisiä vaatimuksia. 8) henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla; Tämä vaatimus koskee organisaation omaa henkilöstöä, mutta vähintään yhtä tärkeää on huolehtia palveluita organisaation toimeksiannosta tuottavan toimittajan henkilöstön luotettavuudesta.

23 23 Menetelmä tai väline: organisaatiossa on kuvattu periaatteet sekä prosessi, jonka mukaan päätetään mistä rooleista, millä perusteella ja milloin tehdään suppea, perusmuotoinen tai laaja turvallisuusselvitys Turvallisuusselvityslain mukaisesti. Prosessin tulee kattaa organisaation oma henkilöstö, palveluita organisaatiolle tuottavat toimittajat sekä muut sidosryhmät. 9) henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä; Jokainen uusi tietoturvallisuuteen liittyvä prosessi, työväline tai muu toimintamalli edellyttää tiedottamista, koulutusta ja seurantaa sekä mahdollisesti uudenlaista dokumentointia ja raportointia. Tietoturva-asetuksen täytäntöönpanoon liittyy keskeisesti tietoturvatasovaatimusten saavuttaminen, joka aiheuttaa useissa organisaatioissa merkittävän uusien toimintatapojen jalkauttamistarpeen. Menetelmä tai väline: Organisaation tulee toteuttaa säännöllistä tietoturvakoulutusta. Koulutusten toteuttamisessa voi hyödyntää ohjeita Tietoturvakouluttajan opas, VAHTI 11/2006 sekä Henkilöstön tietoturvaohje, VAHTI 10/2006. Valtion IT-palvelukeskuksen tietoturvapalvelut tarjoavat VAHTI-ohjeiden pohjalta laadittuja maksuttomia sähköisiä koulutuskokonaisuuksia henkilöstölle, johdolle ja esimiehille sekä tietoaineistojen käsittelijöille. Koulutukseen liittyy olennaisena osana omaksumista mittaava kysely. 10) annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti. On tilanteita, joissa jokin uusi toimintamalli laaditaan sen takia, koska sitä edellytetään ilman että organisaatiolla on aidosti halua tai motivaatiota ottaa sitä käyttöön. Tietoturvatasojen toteuttamisessa ei saa tapahtua näin. Kun organisaatio tai palvelu saavuttaa perus-, korotetun- tai korkean tietoturvatason, se ei voi säilyttää saavutettua tasoa ellei käyttöönotettuja prosesseja ja toimintamalleja liitetä organisaation / palvelun toimintaan siten, että tietoturvallisuus koetaan osana toimintaprosessia eikä erillisenä vaatimuksena. Tietoturvallisuuden tulee integroitua osaksi organisaation toimintakulttuuria ja se tulee nähdä toiminnan laatua ja suorituskykyä parantavana tekijänä. Menetelmä tai väline: organisaation johdolla ja esimiehillä on tärkeä rooli toimia esikuvana ohjeiden noudattamisessa. Organisaatiossa tulee olla prosessi havaittujen poikkeamien raportoimiseen sekä niihin puuttumiseen. On suositeltavaa laatia organisaatio-/ palvelukohtainen tietoturvallisuuden vuosikello, jonka mukaan huolehditaan prosessien, ohjeiden, sopimusten ja muiden asiakirjojen säännöllisestä katselmoinnista ja päivittämisestä sekä tarvittavista auditoinneista. Lisätietoa ohjeesta Tietoturvallisuus on asenne VAHTI 6/2008.

24 Tietoturvallisuusasetuksen vaatimusten toteuttaminen organisaatiossa Tietoturvatasojen vaatimukset kohdistuvat organisaation toimintamalleihin, prosesseihin ja menettelyihin sekä tietojärjestelmien hallintaprosesseihin. Vaatimusten toteuttamista ei kannata tehdä vaatimus kerrallaan vaan ottaa niiden toteuttamisessa kokonaisvaltainen lähestymistapa. Suositeltavaa on toteuttaa tietoturvallisuuden hallintajärjestelmä, jonka avulla tietoturvallisuus saadaan integroitua organisaation muuhun toimintaan. Hallintajärjestelmän ja siihen liittyvän vuosikellon avulla myös säännöllisesti toistuvat tehtävät saadaan ajoitettua. Tietoturvatasovaatimusten mukaan toteutettu hallintajärjestelmä on yhteensopiva ISO/IEC standardin mukaisen hallintajärjestelmän kanssa ja mahdollistaa organisaation tietoturvallisuuden sertifioinnin, jos se on tarkoituksenmukaista ja organisaation tavoitteena. Valtionhallinnossa edellä kuvattuja vaatimuksia on toteutettu valtiovarainministeriön käynnistämissä Tietoturvallisuusasetuksen täytäntöönpanon yhteishankkeissa. Hankkeisiin osallistuu lähes 60 valtionhallinnon organisaatiota, jotka saavat hankkeen työpajoissa konkreettisia ohjeita, malleja ja kokemuksia hallintajärjestelmän ja toimintamallien toteuttamiseen. Hankkeiden toteuttamisessa käytetään apuna Valtion IT-palvelukeskuksessa laadittua Projektiopasta, joka on saatavilla VIPin työkalupakista. Hankkeissa on todettu, että tietoturvallisuuden hallintajärjestelmän ja tietoturvatasovaatimusten toteuttaminen onnistuu ainoastaan jos niiden toteuttamiseen on johdon tuki, joka näkyy johdon puheissa, toiminnassa ja tietoturvatyöhön kohdistetuissa resursseissa. Tietoturvatyö vaatii koko henkilöstön sitoutumista, joten se ei onnistu jos tietoturvavastaava ei saa muun organisaation tukea ja työpanosta vaadittujen toimintamallien toteuttamiseen. 2.2 Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä Valtioneuvoston periaatepäätöksessä todetaan, että päätös koskee kaikkia hallinnon palveluita, toimintoja, prosesseja, tietojärjestelmiä ja -verkkoja kattaen tiedon koko elinkaaren. Periaatepäätös koskee valtion budjettitalouden piirissä olevia organisaatioita ja liikelaitoksia sekä näiden ulkopuolisilta tahoilta hankkimia tai perustamiinsa osakeyhtiöihin ulkoistamia toimintoja, prosesseja tai palveluja. Periaatepäätöstä noudatetaan myös valtionhallinnon ja muiden organisaatioiden (kuten kunnat, yritykset ja yhteisöt) välisessä toiminnallisessa, tiedon hallinnan ja varautumisen sekä kansainvälisessä yhteistyössä. Edellinen tarkoittaa sitä, että tietoturvallisuus tulee ottaa huomioon sekä valtionhallinnon organisaation omassa toiminnassa että ostettaessa palveluita. Samoin se tulee ottaa huomioon valtionhallinnon ja muiden organisaatioiden yhteistyössä tietoaineistoa välitettäessä organisaatioiden välillä. Periaatepäätöksen luvussa 3 Kehittämisperiaatteet, -kohteet ja painopisteet todetaan:

25 25 Tiedon ja sen arvon suojaaminen: Organisaatiot parantavat tietoaineistojen, - järjestelmien ja -verkkojen turvallisuutta sekä kehittävät valtion ympärivuorokautista tietoturvatoimintakykyä. Organisaatiot toimivat valtion yhteisten varautumislinjausten, tietoaineistojen suojaustasojen ja tietoturvatasojen vaatimusten mukaisesti sekä ottavat käyttöön näitä tukevat tietotekniset ratkaisut. 2.3 Tietoaineistojen käsittely ja luokittelu Tietoturvallisuuden tärkein tavoite on tukea organisaation toimintaa ja tavoitteiden saavuttamista huolehtimalla tietoaineistojen luottamuksellisuudesta, eheydestä ja saatavuudesta. Tämä on mahdollista ainoastaan ottamalla tietoturvallisuus huomioon tiedon elinkaaren kaikissa vaiheissa. Tietoaineistot tulee luokitella niiden tietosisällön mukaan. Tietoturvallisuusasetus ja VAHTI 2/2010 määrittelevät yksityiskohtaisella tasolla tietoaineistojen käsittelylle asetetut velvoitteet. Salassa pidettävän, harkinnanvaraisesti julkisen sekä käyttörajoitteisen tietoaineiston käsittelyä ohjataan suojaustasojen avulla tietoturvallisuusasetuksen 9 :ssä osoitetulla tavalla. Suojaustasot ovat: suojaustaso I (ST I), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle suojaustaso II (ST II), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle suojaustaso III (ST III), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle suojaustaso IV (ST IV), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleiselle tai yksityiselle edulle tai, jos kysymys on tietoturvallisuusasetuksen 9 :n 2 momentissa tarkoitetuista asiakirjoista, jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä. Osaan salassa pidettävistä asiakirjoista voidaan tehdä turvallisuusluokittelua koskeva merkintä tietoturvallisuusasetuksen 11 :ssä säädetyin edellytyksin. Turvallisuusluokitusmerkintää on sallittua käyttää vain niissä tietoaineistoissa, joissa olevien tietojen oikeudeton paljastuminen tai käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muille yleisille eduille siten kuin tietoturvallisuusasetuksessa säädetään. Tietoaineistojen luokittelua on käsitelty yksityiskohtaisesti VAHTI 2/2010-ohjeen luvussa 7 Tietoaineistojen luokittelu.

26 26 Kuva 6. Tässä ohjeessa keskitytään kuvamaan niitä teknisiä ratkaisuja, joita tarvitaan luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi sekä julkisten että salassa pidettävien tietoaineistojen käsittelyssä. Julkisen tietoaineiston käsittelyn osalta valtionhallinnossa on useita merkittäviä järjestelmiä, joissa järjestelmiltä edellytetään korkeaa palvelutasoa ja ICT-varautumiskykyä. Tietoaineisto Julkinen Salassa pidettävä, viranomaisharkinta, käyttötarkoitussidonnainen tietoaineisto Erityisesti eheys ja saatavuus otettava huomioon julkisessa tietoaineistossa Luottamuksellisuus, eheys ja saatavuus -tärkeys vaihtelee riippuen tietoaineiston sisällöstä Kuva 7. Muu kuin julkinen tietoaineisto voidaan merkitä suojaustaso- tai turvallisuusluokitusmerkinnällä riippuen siitä, millaista tietoa se sisältää ja millaista vahinkoa tietojen oikeudeton paljastuminen tai käyttö voivat aiheuttaa. Mikäli käsitellään kansainvälistä turvallisuusluokiteltua tietoa, niin siihen kohdistuu tällöin kansallisia, suojaustasomerkinnöillä varustettuja tietoaineistoja tiukempia käsittelyvaatimuksia erityisesti tiedon luottamuksellisuuden suojaamiseksi. Viranomaisen asiakirjojen luokittelu Salassa pidettävä, viranomaisharkinta, käyttötarkoitussidonnainen tietoaineisto TiTuA 681/2010, 9 JulkL 621/ , K HetiL 523/ Muu lainsäädäntö TiTuA 681/2010, 11 JulkL 621/ , 7-10 K KansVälTiTuL 588/2004, 8 Suojaustasomerkintä ST IV, ST III, ST II tai ST I Turvallisuusluokitusmerkintä KÄYTTÖ RAJOITETTU, LUOTTAMUKSELLINEN, SALAINEN tai ERITTÄIN SALAINEN Yleisimmät kansalliselle ja kansainväliselle turvallisuusluokitellulle aineistolle asetettavat auditointikriteerit on kuvattu Kansallisessa turvallisuusauditointikriteeristössä (KATA- KRI). Tässä ohjeessa kansainvälisellä turvallisuusluokitellulla tietoaineistolla tarkoitetaan kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettua erityissuojattavaa tietoaineistoa, johon tietoaineiston Suomeen toimittanut sopimuspuoli on tehnyt turvallisuusluokitusta koskevan merkinnän tai johon Suomen viranomaisen on kansainvälisen tietoturvallisuusvelvoitteen mukaan tehtävä turvallisuusluokitusmerkintä.

27 27 Kuva 8. Suojaustaso- tai turvallisuusluokitusmerkinnän omaavan tietoaineiston käsittely edellyttää suojattavalta kohteelta aina vähintään siltä vaaditun tietoturvatason täyttämistä. Tässä yhteydessä tulee huomata, että myös edellytettyä korkeampi tietoturvataso voidaan toteuttaa jos sille on muita perusteita (esimerkiksi muut vaatimukset tai Yhteiskunnan turvallisuusstrategia). Tietoturvatasojen vaatimuksissa ei ole kuvattu erityistasoa, joka edellyttää korkean tason sekä suojattavan kohteen erityispiirteistä koostuvia lisäkontrolleja. Salassa pidettävät tiedot, viranomaisharkinta, käyttötarvesidonnainen Erityistaso Suojaustasomerkintä: Turvallisuusluokitusmerkintä: ST I Erittäin salainen ST II Salainen Korkea taso Korkea taso ST III Luottamuksellinen Korotettu taso ST IV Käyttö rajoitettu Perustaso Julkinen tieto 2.4 Tietoturvatasot VAHTI 2/2010 -ohje sisältää tietoturvatasojen yksityiskohtaiset vaatimukset liitteessä viisi. Ne asettavat organisaatioiden ja niiden tietojenkäsittely-ympäristöjen hallinnalle tietoturvavaatimukset, jotka kuvaavat niitä tietoturvatoimintaan ja -prosesseihin liittyviä menettelyitä, jotka jokaisessa valtionhallinnon organisaatiossa tulee toteuttaa. Vaatimusten toteuttamisvelvoitetta ei ole aiemmin sisällytetty lainsäädäntöön, mutta niiden täyttämistä on voitu edellyttää muulla tavoin. Osa vaatimuksista sisältyy jo julkisuuslaissa (621/1999) asetettuihin velvoitteisiin hyvän tiedonhallintatavan toteuttamisesta. Tietoturvallisuusasetuksen kohdissa 16 Sähköisen asiakirjan laatiminen, tallettaminen ja muokkaaminen ja 19 Asiakirjan siirtäminen tietoverkossa todetaan, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tietoturvallisuustason vaatimukset sekä tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuustason vaatimukset. Näillä viittauksilla tarkoitetaan VAHTI 2/2010 -ohjeen liitteessä 5 kuvattuja korotetun ja korkean tietoturvatason vaatimuksia.

28 28 Organisaation tietoturvallisuuden hallinta ja tietojenkäsittely-ympäristöt luokitellaan kolmeen tietoturvatasoon; perustaso, korotettu taso ja korkea taso. Alin valtionhallinnon viranomaisille sallittu taso on tietoturvallisuuden perustaso. Tämän toteuttavassa ympäristössä voidaan käsitellä suojaustason IV edellyttävää tietoaineistoa selväkielisessä muodossa toimivaltaa käyttävän viranomaisen päätöksellä. Korotetun tietoturvallisuustason ympäristössä voidaan vastaavasti käsitellä tietoa selväkielisessä muodossa aina suojaustasoon III asti ja korkean tietoturvallisuustason täyttävissä ympäristöissä suojaustasoon II ja I asti. Suojaustasoa I sisältävien tietojen selväkielinen käsittely voidaan toteuttaa vain ST I -tason täyttävässä erillisverkko-ympäristöissä, joissa ei ole suoria liitäntöjä alemman tietoturvatason ympäristöihin. Työasema, joka itsessään täyttää korkeamman tietoturvallisuustason vaatimukset, on mahdollista erilliseen viranomaishyväksyntään perustuen liittää alemman tietoturvallisuustason ympäristöön. Liittämisen mahdollistavia hyväksyttäviä yhdyskäytäväratkaisuja on käsitelty yksityiskohtaisemmin Kansallisessa turvallisuusauditointikriteeristössä (KATAKRI, ks. erityisesti I 401.0). Jokaisen valtionhallinnon organisaation tulee täyttää vähintään tietoturvallisuuden perustaso, joka kattaa kokonaisuudessaan viranomaisen salassa pidettävien asiakirjojen käsittelyn. Tietoturvallisuuden perustaso tulee olla toteutettuna koko valtionhallinnossa mennessä (Tietoturvallisuusasetus 23 3 mom.). Toiminnoissa, joissa edellytetään korotetun tai korkean tietoturvallisuustason toimintaympäristöä (toimintaa, tietojärjestelmiä ja tietoverkkoja) ja joissa käsiteltävät asiakirjat viranomainen on luokitellut, tulee toteuttaa vaatimukset viiden vuoden kuluessa siitä, kun viranomainen on päättänyt luokitella asiakirjansa. Jos luokituspäätös on tehty esimerkiksi , korotettu taso tulee saavuttaa mennessä. Esimerkkinä luokituspäätöksestä toimii organisaation johtoryhmän pöytäkirjan merkintä, jossa on todettu tietoaineistojen luokittelu otettavaksi organisaatiossa käyttöön. Kun luokittelupäätös tehdään, täytyy sen pohjautua tietoturvallisuusasetukseen. Tämän lisäksi organisaatio itse tai ulkoiset tahot voivat esimerkiksi sopimuksissa edellyttää muiden tietoturvallisuuteen liittyvien vaatimusten täyttymistä tai korotetun / korkean tason saavuttamista aiemmin kuin asetus sitä edellyttää. Tietoturvatasot koskevat sekä viranomaisen omia menettelyitä että niitä tahoja, jotka suorittavat tehtäviä viranomaisen toimeksiannosta. Valtionhallinnon viranomaisten toiminnassa tulee lähtökohtana olla, että käsiteltäessä yhteiskunnan elintärkeiden toimintojen kannalta kriittisiä viranomaisen asiakirjoja, käsittelyssä noudatetaan vähintään korotetun tietoturvallisuustason vaatimuksia. 2.5 Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Kansallinen turvallisuusauditointikriteeristö (KATAKRI) valmistui vuonna 2009 viranomaisten, elinkeinoelämän ja turvallisuusalan järjestöjen yhteistyönä. Päivitetty versio 2.0 valmistui kevään 2011 aikana.

29 29 KATAKRI on tarkoitettu työvälineeksi niille viranomaisille tai viranomaisten lukuun toimiville turvallisuustarkastajille (auditoijille), joille on annettu valtuus todentaa arvioitavan kohteen turvallisuuden taso erityisesti KATAKRI:n auditointikriteereihin peilaten. KATAKRI ja erityisesti sen suositusosio on tarkoitettu myös perustyökaluksi yritysten omaehtoiselle turvallisuustyölle. On kuitenkin huomattava, että KATAKRIssa kuvatut elinkeinoelämän suositukset eivät ole viranomaisvaatimuksia. Toimivaltaiset viranomaiset toteuttavat yritysten tai muiden kohteiden turvallisuustason tarkastamisen joko valtionhallinnon salassa pidettävää tietoa sisältäviin hankkeisiin liittyen, tai kansainvälisen pyynnön seurauksena. Jälkimmäisessä tapauksessa tilanne on usein se, että suomalainen yritys pääsee osallistumaan kansainväliseen tarjouskilpailuun, mikäli se täyttää hankkeen turvallisuusvaatimukset. Vaatimukset täyttävälle yritykselle toimivaltainen viranomainen voi myöntää tästä erillisen todistuksen (kansainvälisessä yhteydessä Facility Security Clearance, FSC). Olipa kyseessä kotimainen tai ulkomainen vaatimusasettelu, suomalaiset viranomaiset käyttävät turvallisuustason todentamiseen samoja vaatimuksia, jotka on esitetty KATAKRI:ssa kolmelle tasolle; perustaso, korotettu taso ja korkea taso. KATAKRIn vaatimustason toteuttaminen mahdollistaa vastaavasti luokitellut tietoaineiston käsittelyn, perustasolla (Restricted), korotetulla tasolla (Confidential) ja korkealla tasolla (Secret). Tässä VAHTI-ohjeessa ja sitä täydentävissä Excel-työvälineissä on otettu huomioon myös turvallisuusluokiteltujen tietoaineistojen käsittelyä ja tietoturvallisuutta koskevia KATAKRI-auditointikriteereitä. Viranomaisen tulee huolehtia, että KATAKRI-auditointikriteerit huomioidaan niissä tilanteissa, joissa niitä voidaan käyttää toimittajaa tai sen omaa toimintaa velvoittavina. Velvoittavuus tulee esimerkiksi tilanteissa kun tietoaineisto luokitellaan turvallisuusluokitusmerkinnällä kun toimittaja tuottaa palvelua, jonka piirissä käsitellään kansainvälisiä turvallisuusluokiteltuja (kahdenvälisten sopimusten piiriin kuuluvia, tai esim. EU:n tai Naton) asiakirjoja

30 30

31 31 3 Suojattavien kohteiden määritteleminen Tässä luvussa kuvataan miten organisaatio määrittelee suojattavat kohteet ja niiltä vaadittavan tietoturvatason. Tässä ohjeessa keskitytään teknisten vaatimusten toteuttamiseen siten, että tietoturva-asetuksessa edellytetyt perus-, korotetun tai korkean tietoturvatason vaatimukset saadaan toteutettua. 3.1 Suojattavien kohteiden määrittämisessä huomioitavaa Ennen kuin organisaatio voi aloittaa suojattavien kohteiden määrittämisen ja niissä käsiteltävien tietoaineistojen edellyttämien vaatimusten toteuttamisen, sen tulee selvittää, mitkä kaikki velvoitteet vaikuttavat suojattavien kohteiden määrittämiseen. Näitä ovat: Pakolliset huomioitavat: yleinen lainsäädäntö º º yksityiskohtaisen yksityiskohtainen lista on saatavilla Valtion IT-palvelukeskuksen työkalupakista organisaatiota koskeva erityislainsäädäntö º º organisaation tulee itse tunnistaa näistä tulevat velvoitteet viranomaismääräykset Lisäksi mahdollisesti huomioitavat: VAHTI-ohjeet organisaation työjärjestys tehdyt sopimukset organisaation asiakkaiden, sidosryhmien ja sille palveluita tuottavien toimittajien kanssa º º organisaation sopimuskumppaneille esittämät vaatimukset º º näiden tahojen vastavuoroisesti organisaatiolle esittämät vaatimukset muut mahdolliset sitoumukset riskienarvioinnin vaikutukset

32 32 käytössä olevan teknologian asettamat vaatimukset ja rajoitukset muut toiminnassa noudatettavat kriteeristöt kohteessa käsiteltävän tiedon omistajien erityisvaatimukset Edellä mainittujen perusteella organisaatio voi määritellä suojattaviin kohteisiin liittyvät tietoturvatavoitteet, joiden pohjalta se voi käynnistää suunnittelutyön tavoitteiden mukaisten vaatimusten toteuttamiseksi. 3.2 Tietoturvallisuusasetuksen vaatimukset Tietoturva-asetus velvoittaa noudattamaan eri suojaustasojen tietoaineistojen käsittelyssä riittäviä teknisiä menettelyitä 16 (laatiminen tallettaminen muokkaaminen) ja 19 (asiakirjan siirtäminen tietoverkossa) seuraavasti: 16 Sähköisen asiakirjan laatiminen, tallettaminen ja muokkaaminen Valtionhallinnon viranomainen voi sallia, että suojaustasoon II kuuluva asiakirja talletetaan sähköisesti viranomaisen sellaiseen tietoverkkoon liitetylle tietovälineelle tai muulle laitteelle, jonka käyttö on rajoitettu, jos asiakirja talletetaan vahvasti salattuna tai se on muutoin vahvasti suojattu ja viranomainen on muutoinkin varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tietoturvallisuustason vaatimukset. Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja talletetaan viranomaisen tietoverkkoon liitetylle laitteelle, jos verkon käyttö on rajoitettu ja asiakirja talletetaan salattuna tai muutoin suojattuna siten, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuustason vaatimukset. Sama koskee suojaustasoon IV kuuluvaa arkaluonteisia henkilötietoja tai biometrisiä tunnistetietoja sisältävää henkilörekisteriin talletettua asiakirjaa. sekä 19 Asiakirjan siirtäminen tietoverkossa Suojaustasoon II kuuluvan asiakirjan saa lisäksi siirtää sellaisessa viranomaisen tietoverkossa, jonka käyttö on rajoitettu, jos asiakirja on vahvasti salattu tai se on muutoin vahvasti suojattu ja valtionhallinnon viranomainen on muutoinkin varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tietoturvallisuustason vaatimukset.

33 33 Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja siirretään viranomaisen tietoverkossa, jonka käyttö on rajoitettu, jos viranomainen on varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuuden tason vaatimukset. Sama koskee suojaustasoon IV kuuluvien valtakunnalliseen henkilörekisteriin talletettujen arkaluonteisten henkilötietojen tai biometristen tunnistetietojen siirtämistä tietoverkossa. Suojaustasoon IV kuuluvan muun asiakirjan saa siirtää valtionhallinnon viranomaisen päättämällä tavalla. Edellisissä kohdissa mainittu tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät, tietoverkko tarkoittaa organisaation sisäverkkoa, tai käytettäessä organisaation ulkopuolisia palveluita, tietoliikenneyhteyttä sisäverkosta kyseiseen palveluun. Yksityiskohtaisemmat tietoturvatasovaatimukset organisaation tietoverkoille löytyvät VAHTI 3/2010 Sisäverkko-ohjeesta sekä Kansallisesta turvallisuusauditointikriteeristöstä (KATAKRI, erityisesti I 400 -sarja). Tietojenkäsittelyllä kokonaisuudessaan tarkoitetaan esimerkiksi: hallinnollista tietoturvallisuutta tietojenkäsittelyn hallinnollisia menettelyitä (ICT-palveluprosessit) teknistä tietojenkäsittelyä (tekniset ICT-palveluiden ratkaisut) teknistä tietoturvallisuutta (tekniset tietoturvaratkaisut). Edellisen lisäksi sekä tietoturvallisuusasetus että VAHTI 2/2010 sisältävät lukuisia muita vaatimuksia, joita tässä ohjeessa ei oteta huomioon. Nämä koskevat esimerkiksi turvaluokiteltua tietoa sisältävän suojattavan kohteen fyysistä turvaamista, mille asetettavat auditointikriteerit on kuvattu kattavasti KATAKRI:n fyysisen turvallisuuden osiossa sekä valmisteilla olevassa VAHTI -toimitilojen tietoturvaohjeessa. Muita suojattavalla kohteelle asetettavia vaatimuksia ovat esimerkiksi hajasäteilystä aiheutuvien riskien vähentämiseen liittyvät toimet, joista Viestintäviraston NCSA-FI -yksikkö ohjeistaa erikseen. 3.3 Miten suojattavien kohteiden rajaus tulisi suorittaa? Organisaation tulee tunnistaa omaan ydintoimintaansa liittyvät toiminnot ja prosessit sekä niitä tukevat tietojärjestelmät ja muut ICT-palvelut. Näistä muodostuu kokonaisuus, jonka tietoturvallisuudesta organisaation tulee huolehtia. Organisaation vastuu ei riipu siitä, tuottaako se tähän kokonaisuuteen liittyviä palveluita kokonaan tai osittain itse vai ostaako se niitä toimittajalta yksittäin tai laajamittaisempana ulkoistettuna kokonaisuutena. Alla on kuvattuna esimerkkejä eri tyyppisten organisaatioiden ICT-palveluista.

34 34 Kuva 9. Yksinkertaistettu kuva pienen organisaation käyttämistä ICT-palveluista. Viestintäratkaisu (sähköposti, kalenteri) Talous- ja henkilöstöhallinnon sovellukset Työasemapalvelut- ja palvelinpalvelut tietojärjestelmille Ydintoimintojen tietojärjestelmät Lähiverkon ja palvelinympäristön infrastruktuuripalvelut sekä tietoturvapalvelut kuten haittaohjelmien torjuntaan liittyvät palvelut Tietoliikenneverkko ja sen edellyttämät infrastruktuuripalvelut Kuva 10. Tässä esimerkissä keskitytään organisaation viestintäratkaisun tietoturvallisuuteen. Jotta organisaation sähköposti-, kalenteri- ja viestintäratkaisut toimivat, edellyttää se ainakin kuvassa esitettyjä esimerkinomaisia palveluita. Viestintäratkaisun tietoturvatasoksi on valittu siinä käsiteltävien tietoaineistojen sisällöstä ja tärkeysluokituksesta johtuen korotettu tietoturvataso, jolloin se edellyttää myös muiden viestintäratkaisuun liittyvien palveluiden ja prosessien tuottamista korotetulla tietoturvatasolla. Viestintäratkaisu (sähköposti, kalenteri) -sähköposti- ja kalenteripalvelinohjelmisto - Tärkeysluokka: tärkeä - Tietoturvataso: korotettu - Tietoaineistot: enintään ST III Työasemapalvelu- ja palvelinpalvelut tietojärjestelmille - Käyttöjärjestelmä - www-selainohjelmisto - Sähköposti- ja kalenteriasiakasohjelmat - palvelin varmistusjärjestelmä - palvelin, työasemien ja muiden päätelaitteiden hallintajärjestelmä - palvelinten ja päätelaitteiden päivitysten jakelu - etäkäyttöpalvelut Lähiverkon ja palvelinympäristön infrastruktuuripalvelut sekä tietoturvapalvelut kuten haittaoohjelmien torjuntaan liittyvät palvelut - Active Directory, DNS, DHCP - Haittaohjelmien torjunta yhdyskäytävätasolla (http, smtp) sekä työasematasolla Tietoliikenneverkko ja sen edellyttämät infrastruktuuripalvelut - Ulkoinen DNS, palomuuri, IDS, näiden hallintapalvelut

35 35 Kuvan esimerkki osoittaa, kuinka helposti yksittäinen korotetulla tietoturvatasolla oleva järjestelmä aiheuttaa sen, että myös muut kyseisen palvelun tuottamiseen liittyvät keskeiset infrastruktuuripalvelut tulee toteuttaa korotetulla tietoturvatasolla. Jos organisaatiossa on korotettua tasoa edellyttävien palveluiden ohella perustason palveluita, niin tietoliikenneverkko ja sen edellyttämät infrastruktuuripalvelut, kuten lähiverkko ja palvelinympäristön infrastruktuuri, on mahdollista toteuttaa perustasolla, mikäli se voidaan tarkoituksenmukaisesti rajata korotetun tason palveluista. Usein onkin suositeltavaa pyrkiä rajaamaan ja eriyttämään eri tasojen järjestelmät toisistaan. Eriyttäminen on usein kustannustehokkain vaihtoehto, sillä silloin korkeamman tason suojauksia ei tarvitse toteuttaa kaikkiin alemman tason ympäristöihin. Kuva 11. Organisaatiolla saattaa olla kaikkien kolmen eri tietoturvatason ICT-järjestelmiä käytössä. Tällöin tulee tarkkaan miettiä, miten niitä tukevat pääte-, palvelin-, tietoliikenne- sekä muut infrastruktuuri- ja tukipalvelut tuotetaan kustannustehokkaasti, mutta kuitenkin täyttäen suojattavan kohteen edellyttämät tietoturvatasojen ja ICT-varautumisen vaatimukset. Osa kaupallisista palveluntarjoajista on päätynyt rakentamaan omat prosessinsa, palvelunsa ja tilansa täyttämään korkeimman mahdollisen tason (korkea tietoturva- ja ICT-varautumisen taso). Ne voivat kuitenkin myydä matalammalla tietoturvatasolla olevat palvelut alemmalla hinnalla johtuen esimerkiksi niiden alemmista SLA-palvelutasovaatimuksista. Ydintoiminnan ICT-tietojärjestelmä Järjestelmä x Järjestelmä x Järjestelmä z Järjestelmä y Järjestelmä y Järjestelmä z Perus-ICT-tietojärjestelmät Järjestelmä x Järjestelmä x Järjestelmä z Järjestelmä y Järjestelmä y Järjestelmä z Palvelinympäristö Työasema- ja päätelaiteympäristö Järjestelmä x Järjestelmä x Järjestelmä z Järjestelmä x Järjestelmä x Järjestelmä z Tietoliikenneratkaisut Infrastruktuuri- ja muut tukipalvelut Järjestelmä z Järjestelmä x Järjestelmä x Järjestelmä x Järjestelmä y Järjestelmä z Perustietoturvatason palvelut Korotetun tietoturvatason palvelut Korkean tietoturvatason palvelut

36 36 Kuva 12. Koska ei ole olemassa vain yhtä ainoata oikeata toteuttamismallia, kannattaa yhtenä vaihtoehtona miettiä myös ratkaisua, jossa organisaatio tuottaa kaksi selkeästi toisistaan erillistä teknistä käyttöympäristöä, joista toinen mahdollistaa perustason ja toinen korotetun tietoturvatason vaatimusten täyttämisen. Ennen kuin päätös toteuttamismallista voidaan tehdä, organisaation on täytynyt luokitella käytössään olevat suojattavat kohteet ja sen perusteella tehdä päätökset teknisistä ratkaisuista, joilla suojattavien kohteiden edellyttämät tietoturvatasovaatimukset voidaan toteuttaa. Organisaation perustason tekninen ympäristö ST IV Organisaation korotetun tason tekninen ympäristö ST III Perustason täyttävä päätelaite Korotetun tason täyttäväpäätelaite 3.4 Järjestelmän tärkeysluokka Järjestelmien tarkoituksenmukainen suojaaminen edellyttää sitä, että organisaatio on etukäteen miettinyt järjestelmien tärkeyttä ja luokitellut järjestelmänsä sen mukaisesti. Järjestelmien tärkeysluokituksessa päätetään myös järjestelmältä edellytettävä tietoturvataso. Yksittäisten suojattavien kohteiden sijaan usein on tarkoituksenmukaisempaa niputtaa ne laajemmaksi toiminnaksi, jonka tärkeyttä arvioidaan. Luokittelu tulee tehdä organisaatiossa käytössä olevan tärkeysluokitusmallin avulla. Periaatteessa jokaisella organisaatiolla voi olla oma malli, mutta se ei takaa järjestelmien yhdenmukaista luokittelua kattavasti läpi valtionhallinnon. Tästä syystä järjestelmien tärkeysluokittelu suositellaan tehtäväksi valtionhallinnossa seuraavan mallin avulla, joka on tarkemmin kuvattu tämän ohjeen liitteessä 5.4 sitä tukevine Excel-työkaluineen.

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1 Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin 12.12.2011 A-P Ollila 1 Taustaa Tiedon merkitys yhteiskunnassa ja viranomaisten toiminnassa korostuu kaiken aikaa. Viranomaisten

Lisätiedot

Teknisen ICTympäristön

Teknisen ICTympäristön Teknisen ICTympäristön tietoturvataso-ohje Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2012 VAHTI Teknisen ICT-ympäristön tietoturvataso-ohje Valtionhallinnon tietoturvallisuuden johtoryhmä 3/2012

Lisätiedot

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA TOIMITILAPÄIVÄ 21.3.2013 Johtava asiantuntija Fyysinen turvallisuus ja varautuminen Marko Kalliokoski Verohallinto 020 612 5192 etunimi.sukunimi@vero.fi

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...

Lisätiedot

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Julkaistu Helsingissä 15 päivänä kesäkuuta 2011. 634/2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta SUOMEN SÄÄDÖSKOKOELMA Julkaistu Helsingissä 15 päivänä kesäkuuta 2011 634/2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Annettu Helsingissä 10 päivänä kesäkuuta 2011 Eduskunnan päätöksen mukaisesti

Lisätiedot

VIRTU ja tietoturvatasot

VIRTU ja tietoturvatasot 1 VIRTU ja tietoturvatasot VIRTU/HAKA seminaari 3.2.2010 Erja Kinnunen VK/VIP VIPin palvelut Tietoturvallisuuden viitekehys valtionhallinnossa Ei tietoturvallisuutta koskevaa erillislakia Valtioneuvoston

Lisätiedot

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö Tietosisällön eheys Kimmo Janhunen kimmo.janhunen@om.fi Riskienhallintapäällikkö Oikeusrekisterikeskuski k 26.11.2014 Esityksen sisältö Tiedon merkitys - tiedon eheyden merkitys Määritelmät Lainsäädäntö

Lisätiedot

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto 3.5.2011 Laki julkisen hallinnon tietohallinnon ohjauksesta Lain tavoitteena on luoda toimivalta ja ohjausmalli,

Lisätiedot

Jatkuvuuden varmistaminen

Jatkuvuuden varmistaminen Jatkuvuuden varmistaminen kriittisessä ympäristössä SADe-ohjelman tietosuoja- ja tietoturvailtapäivä 26.11.2014 Aku Hilve http: ://www.capitolhillblue.com/node/47903/060413internet 2 Varautumisella ymmärretään

Lisätiedot

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan 10.12.2015 Hannele Kerola Lainsäädäntöneuvos Pääministeri Juha Sipilän hallituksen strateginen

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Valtioneuvoston asetus

Valtioneuvoston asetus Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) nojalla: 1

Lisätiedot

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä 25.10.2016 m/s Silja Serenade Insevl Pekka Ylitalo Nimi Työ Osasto Roadmap since 90's Mikä on yritysturvallisuusselvitys Uudistetun turvallisuusselvityslain

Lisätiedot

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj Kyberturvallisuus toiminta Valtio Kyberturvallisuuden poliittinen ohjaus kuuluu valtioneuvostolle,

Lisätiedot

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut Mikä on hallintajärjestelmä?

Lisätiedot

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0

Lisätiedot

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta. Itä-Suomen yliopiston tietoturvapolitiikan liitteet 1/6 ITÄ-SUOMEN YLIOPISTON TIETOTURVAPOLITIIKAN LIITTEET LIITE 1: Tietoturvallisuuden vastuut ja organisointi Tässä liitteessä kuvataan tietoturvallisuuteen

Lisätiedot

Turvallisuuden lyhyt koulutuspaketti

Turvallisuuden lyhyt koulutuspaketti Turvallisuuden lyhyt koulutuspaketti VELMU-seminaari 7.12. 0 Julkisuuslaki Aluevalvontalaki Sisältö Tietoturvallisuusasetus Kansallinen turvallisuusauditointikriteeristö (KATAKRI) PE päätös: Merenmittaustietojen

Lisätiedot

Luonnos LIITE 1

Luonnos LIITE 1 Luonnos 15.4.2015 LIITE 1 Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun

Lisätiedot

Tutkimuslaitosseminaari

Tutkimuslaitosseminaari Tutkimuslaitosseminaari Rakennushankkeen suojaustason vaikutus hankkeeseen Case ST III Luottamuksellinen tasoisen hankkeen käynnistämis- ja suunnitteluvaihe. Tu o m m e t i l a l l e r a t k a i s u t

Lisätiedot

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille 15.3.2016 Kimmo Rousku VAHTI Tilaisuuden ohjelma 2 Tervetuloa! Yksikön päällikkö, VAHTIn puheenjohtaja Aku Hilve

Lisätiedot

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT Valtiovarainministeriö Hallinnon kehittämisosasto VM 5/01/2000 19.1.2000 Ministeriöille, virastoille ja laitoksille Asia Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu- ja merkintäohje 1

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

laeiksi julkisen hallinnon tietohallinnon ohjauksesta

laeiksi julkisen hallinnon tietohallinnon ohjauksesta EDUSKUNNAN VASTAUS 331/2010 vp Hallituksen esitys laeiksi julkisen hallinnon tietohallinnon ohjauksesta sekä viranomaisten toiminnan julkisuudesta annetun lain 18 ja 36 :n muuttamisesta Asia Hallitus on

Lisätiedot

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta Kehittämispäällikkö Anna Kärkkäinen, THL Sosiaali- ja terveydenhuollon tietosuojaseminaari, Lahti 16.11.2016 Esityksen

Lisätiedot

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely Valtiovarainministeriö TUVE-hanke 03/2012 TUVE - esityksen sisältö 1. Mitä hallinnon turvallisuusverkolla tarkoitetaan

Lisätiedot

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Turvallisuusselvityslaki ja käytännön toimijat Säätytalo 18.11.2014 Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman Supon ennalta estävä tehtävä Suojelupoliisin tulee lakisääteisen

Lisätiedot

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki Valtorin tietoturvapalvelut ja VAHTI yhteistyö Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki Tietoturvapalvelut Pekka Ristimäki Johtava asiantuntija Valtion yhteiset tietoturvapalvelut: -Asiantuntijapalvelut

Lisätiedot

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) 20.5.2014 Kimmo Janhunen SecICT-hankepäällikkö Hankkeen tausta Esityksen sisältö Valtion ympärivuorokautinen tietoturvatoiminto

Lisätiedot

Tietoturvavastuut Tampereen yliopistossa

Tietoturvavastuut Tampereen yliopistossa Tietoturvavastuut Tampereen yliopistossa Hyväksytty Tampereen yliopiston Yliopistopalvelujen johtoryhmässä 10.5.2016 Korvaa 18.10.2002 hyväksytyn vastaavan dokumentin. Tulee voimaan hyväksymispäivänä.

Lisätiedot

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT TITAN projektissa koottiin

Lisätiedot

Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku

Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku Ryhmäpäällikkö, tietoturvapäällikkö Valtion IT-palvelukeskus VIP tietoturvapalvelut Esitykseni pääkohtia ovat mm. Lähtötasokysely Miksi tietoturvallisuus

Lisätiedot

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA 7.2.2017 Tuula Seppo erityisasiantuntija EU-tietosuoja-asetus Astuu voimaan 25.5.2018 Edellyttää koko henkilöstön ja henkilötietoja

Lisätiedot

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014 Suunnitelma Valtiovarainministeriö/Julkisen hallinnon ICT - toiminto/vaatimukset ja suositukset JHKA-sihteeristö 22.1.2014 Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2014 Julkisen hallinnon

Lisätiedot

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvapolitiikka NAANTALIN KAUPUNKI 2016 Tietoturvapolitiikka NAANTALIN KAUPUNKI 1 Sisällysluettelo Johdanto... 2 Tietoturvallisuus... 2 Riskienhallinta... 3 Varautuminen... 3 Vaatimustenmukaisuus ja tavoitteet... 3 Organisointi, roolit

Lisätiedot

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi...

SISÄLTÖ. 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... RHK Ohje riskienhallinnasta 2 SISÄLTÖ 1 RISKIENHALLINTA... 3 1.1 Yleistä... 3 1.2 Riskienhallinta... 3 1.3 Riskienhallinnan tehtävät ja vastuut... 4 1.4 Riskienarviointi... 5 RH Ohje riskienhallinnasta

Lisätiedot

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA 2016 Kh 111 31.5.2016 v1.0 19.5.2016, Seija Romo 1. JOHDANTO... 1 2. TIETOTURVAPOLITIIKAN TAVOITE... 1 3. TIETOTURVATOIMINTAA OHJAAVAT TEKIJÄT... 2 4. TIETORISKIEN

Lisätiedot

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen TIETOHALLINTOLAKI (LUONNOS) 13.10.2010 Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen Keskeisenä tavoitteena Toteuttaa eduskunnan 7.12.2009 tekemä päätös, että hallituksen tulisi valmistella

Lisätiedot

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus) Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen 2012 2014 (pohjaehdotus) Arviointilomakkeiden tarkoitus Kunkin vastuualueen ja tulosyksikön sisäisen valvonnan

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 1.0 ESPOON KAUPUNKI 02070 ESPOON KAUPUNKI WWW.ESPOO.FI ESBO STAD 02070 ESBO STAD WWW.ESBO.FI Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuus...

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

Laki. EDUSKUNNAN VASTAUS 66/2005 vp. Hallituksen esitys laeiksi viranomaisten toiminnan julkisuudesta annetun lain sekä kuntalain 50 :n muuttamisesta

Laki. EDUSKUNNAN VASTAUS 66/2005 vp. Hallituksen esitys laeiksi viranomaisten toiminnan julkisuudesta annetun lain sekä kuntalain 50 :n muuttamisesta EDUSKUNNAN VASTAUS 66/2005 vp Hallituksen esitys laeiksi viranomaisten toiminnan julkisuudesta annetun lain sekä kuntalain 50 :n muuttamisesta Asia Hallitus on antanut eduskunnalle esityksensä laeiksi

Lisätiedot

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy. Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti

Lisätiedot

Tietoturva ja viestintä

Tietoturva ja viestintä Tietoturva ja viestintä 3.11.2015 1 Uhkakuvat muuttuvat - mitä teemme? Ihmisestä tallentuu joka päivä tietoa mitä erilaisimpiin paikkoihin - valtion, kuntien ja yritysten ylläpitämiin rekistereihin. Joka

Lisätiedot

Kokonaisarkkitehtuuri julkisessa hallinnossa 2016

Kokonaisarkkitehtuuri julkisessa hallinnossa 2016 Kokonaisarkkitehtuuri julkisessa hallinnossa 2016 14.12.2016 Jari Kallela JUHTA JulkICT Sisältö Yhteentoimivuuden haaste Kokonaisarkkitehtuurikyvykkyyden edistyminen Uudistuva sisältö Tietohallintolaki

Lisätiedot

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA POHJOIS-KARJALAN SAIRAANHOITO- JA SOSIAALIPALVELUJEN KUNTAYHTYMÄ Johtoryhmä 7.4.2015 Yhtymähallitus 27.4.2015 SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA Sisällys 1. Lainsäädäntö 3 2. Soveltamisala

Lisätiedot

SELVITYS TIETOJEN SUOJAUKSESTA

SELVITYS TIETOJEN SUOJAUKSESTA 1 (5) Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain (661/2009) 44 :n mukainen selvitys tietojen SELVITYS TIETOJEN SUOJAUKSESTA Määritelmät Tämä selvitys koskee

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet. Anna-Leena Reinikainen

Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet. Anna-Leena Reinikainen Tilastoaineistojen säilytysajan määrääminen - normivaatimukset ja sopimusvelvoitteet Anna-Leena Reinikainen 6.5.2009 Vaikuttavia säädöksiä Arkistolaki (831/1994) Laki viranomaisten toiminnan julkisuudesta

Lisätiedot

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle Ohje 1 (6) Käyttöönottosuunnitelma -kotiorganisaatiolle Ohje 2 (6) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.0 11.12.2009 Mikael Linden käyttöönottohankkeen

Lisätiedot

Valtioneuvoston asetus

Valtioneuvoston asetus VALTIOVARAINMINISTERIÖ Luonnos 10.12.2013 TORI-hankkeen lainsäädäntötyöryhmä Lainsäädäntöneuvos Sami Kivivasara Valtioneuvoston asetus valtion yhteisten tieto- viestintäteknisten palvelujen järjestämisestä

Lisätiedot

Lokipolitiikka (v 1.0/2015)

Lokipolitiikka (v 1.0/2015) KYS erityisvastuualue Etelä-Savon sairaanhoitopiiri Lokipolitiikka (v 1.0/2015) Sisällys 1 JOHDANTO... 2 2 HENKILÖTIETOJEN KÄSITTELYYN LIITTYVÄ LAINSÄÄDÄNTÖ... 2 3 LOKI JA LOKITIETO... 3 4 LOKITIETOJEN

Lisätiedot

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! 1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden

Lisätiedot

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen)

päiväys tekijä tarkastaja hyväksyjä Muutoshistoria Julkunen (Marja Julkunen) Valtiokonttori Kieku-toimiala Ohje Mikko 18.4.2016 Kieku-tietojärjestelmä Työasemavaatimukset 1 (5) Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.5 12.2.2014 Mikko

Lisätiedot

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

TIETOTURVATASOVAATIMUKSET HANKINNOISSA TIETOTURVATASOVAATIMUKSET HANKINNOISSA Mikäli muuta ei mainita, Toimittajan (ei Asiakkaan) tulee suorittaa tässä taulukossa kuvatut toimenpiteet, jotka kohdistuvat hankinnan kohteeseen eli palveluun. Tietoturvatasoj

Lisätiedot

Suorin reitti Virtu-palveluihin

Suorin reitti Virtu-palveluihin Suorin reitti Virtu-palveluihin Haka- ja Virtu-seminaari 9.2.2011 Hannu Kasanen, Secproof Finland Secproof Finland Noin 15 hengen konsultointi- ja asiantuntijapalveluita tarjoava yritys Perustettu vuonna

Lisätiedot

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA LIIKENNE- JA VIESTINTÄMINISTERIÖ Muistio Liite 1 Viestintäneuvos 27.10.2015 Kreetta Simola LUONNOS VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA Taustaa Vuoden

Lisätiedot

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016 1 (9) Rauman kaupunki Tietoturvapolitiikka Kaupunginhallitus hyväksynyt 30.5.2016, KH 274, RAU/522/07.03.00/2016 2 (9) Sisällys 1. Johdanto... 3 2. Tietoturvapolitiikan tarkoitus... 3 3. Ketä tämä tietoturvapolitiikka

Lisätiedot

JHS 156 suosituksen päivitys

JHS 156 suosituksen päivitys JHS 156 suosituksen päivitys Mikael Himanka, Avain Technologies Oy Sisältö Suosituksen aikataulu Päivityksen taustat Suosituksen tavoitteet Suosituksen avulla saavutettavat edut Suosituksen menetelmät

Lisätiedot

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI TIETOSUOJAVALTUUTETUN TOIMISTO MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI Päivitetty 27.07.2010 www.tietosuoja.fi 2 Malli henkilötietojen käsittelyn/henkilörekisterin

Lisätiedot

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela Kokonaisarkkitehtuuri julkisessa hallinnossa ICT muutostukiseminaari 8.10.2014 neuvotteleva virkamies Jari Kallela Sisältö Miksi kokonaisarkkitehtuuria tarvitaan julkisessa hallinnossa? Mitä tuloksia kokonaisarkkitehtuurista

Lisätiedot

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä? Aloite 08.02.2017 1 (3) VVC VM036:00/2015 Lausunto luonnoksesta valtion riskienhallintopolitiikkamalliksi Yleistä Onko aineistokokonaisuus, jossa on riskienhallinnan järjestämistä koskevia ohjeita,

Lisätiedot

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA lukien toistaiseksi 1 (5) Sijoituspalveluyrityksille MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA Rahoitustarkastus antaa sijoituspalveluyrityksistä annetun lain

Lisätiedot

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 17.1.2012 2 Päivitetty 05.8.2016 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ 3. REKISTERIN

Lisätiedot

KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli Heikki Lunnas

KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli Heikki Lunnas KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli 29.5.2006 Heikki Lunnas KuntaTIMEn keihäänkärjet 1. Julkisen hallinnon tietohallinnon ohjausmekanismien kehittäminen 2.

Lisätiedot

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ Liite E Salassapito- ja tietoturvasitoumus 1 (5) VERSIOHISTORIA Päivä Versio Kuvaus Tekijä 3.0 Tarjouspyynnön liitteeksi Hanketoimisto 2 (5) Salassapito-

Lisätiedot

Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio. julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto

Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio. julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto Tomi.Voutilainen@uef.fi 25.11.2015 1 Lähtökohta Tietohallintolaki

Lisätiedot

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy LAURA TM -rekrytointijärjestelmän tietoturva Markku Ekblom Teknologiajohtaja Uranus Oy 17.1.2014 Toimintaympäristö Uranus on Suomessa perustettu, Suomessa toimiva ja suomalaisessa omistuksessa oleva yritys.

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Lapin yliopiston tietoturvapolitiikka

Lapin yliopiston tietoturvapolitiikka Lapin yliopiston tietoturvapolitiikka 2016 1 Vahvistettu Lapin yliopiston rehtorin päätöksellä 16.5.2016 Lapin yliopiston tietoturvapolitiikka Sisällysluettelo: 1. Johdanto... 2 2. Tietoturvapolitiikan

Lisätiedot

Utajärven kunta TIETOTURVAPOLITIIKKA

Utajärven kunta TIETOTURVAPOLITIIKKA Utajärven kunta TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Utajärven kunnan toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat keskeisiä tekijöitä

Lisätiedot

Kuntien ICT-muutostukiohjelma. Kunta- ja palvelurakennemuutostuen ICT-tukiohjelman uudelleen asettaminen

Kuntien ICT-muutostukiohjelma. Kunta- ja palvelurakennemuutostuen ICT-tukiohjelman uudelleen asettaminen Kuntien ICT-muutostukiohjelma Kunta- ja palvelurakennemuutostuen ICT-tukiohjelman uudelleen asettaminen Ossi Korhonen 11.12.2014 ICT-muutostukiprojekteissa nyt mukana yhteensä 135 kuntaa ICT-muutostuki

Lisätiedot

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 8. Luento Tietoturvallisuus Tiedon ominaisuudet

Lisätiedot

Kieku-tietojärjestelmä Työasemavaatimukset

Kieku-tietojärjestelmä Työasemavaatimukset Valtiokonttori Kieku-toimiala Ohje 18.5.2015 Kieku-tietojärjestelmä Työasemavaatimukset Asiakirjan muutoshistoria versio päiväys tekijä tarkastaja hyväksyjä Muutoshistoria 1.00 15.2.2012 Eero Haukilampi

Lisätiedot

Laki. EDUSKUNNAN VASTAUS 54/2009 vp. Hallituksen esitys laiksi paikkatietoinfrastruktuurista. Asia. Valiokuntakäsittely. Päätös

Laki. EDUSKUNNAN VASTAUS 54/2009 vp. Hallituksen esitys laiksi paikkatietoinfrastruktuurista. Asia. Valiokuntakäsittely. Päätös EDUSKUNNAN VASTAUS 54/2009 vp Hallituksen esitys laiksi paikkatietoinfrastruktuurista Asia Hallitus on antanut eduskunnalle esityksensä laiksi paikkatietoinfrastruktuurista (HE 18/2009 vp). Valiokuntakäsittely

Lisätiedot

Toteutuuko tietoturva?

Toteutuuko tietoturva? Toteutuuko tietoturva? Infomaatiohallinnon päivä 2010 21.9.2010 Rovaniemi Juha Lappi Email: juha.lappi@deltagon.fi Vt. toimitusjohtaja GSM: (044)5280892 Deltagon Group Oy Kehittää ja myy käyttäjäystävällisiä

Lisätiedot

Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija

Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0. Kuntamarkkinat Tuula Seppo, erityisasiantuntija Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0 Kuntamarkkinat 14.9.2016 Tuula Seppo, erityisasiantuntija Kuntasektorin asianhallinnan viitearkkitehtuuri 1.0 Hallinnon toimintatapojen digitalisointi

Lisätiedot

Kirjastot digitalisoituvassa maailmassa: haasteita, linjauksia ja olennaisuuksia

Kirjastot digitalisoituvassa maailmassa: haasteita, linjauksia ja olennaisuuksia Kirjastot digitalisoituvassa maailmassa: haasteita, linjauksia ja olennaisuuksia Kirjastoverkkopäivät 2012 Minna Karvonen 23.10.2012 Mistä tässä on oikein kysymys? Tieto- ja viestintätekniikkaan kiinnittyvän

Lisätiedot

Sosiaali- ja terveydenhuollon tiedonhallinnan alueellista kehittämistä ohjaava viitearkkitehtuuri Kuntajohtajakokous

Sosiaali- ja terveydenhuollon tiedonhallinnan alueellista kehittämistä ohjaava viitearkkitehtuuri Kuntajohtajakokous Sosiaali- ja terveydenhuollon tiedonhallinnan alueellista kehittämistä ohjaava viitearkkitehtuuri Kuntajohtajakokous 12.6.2015 Pasi Oksanen 1 Tavoite ja lähtökohdat Tavoitteena aikaansaada Varsinais-Suomen

Lisätiedot

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana Sami Laaksonen, Propentus Oy 3.12.2015 Propentus Oy Perustettu vuonna 2003 Toimipisteet Kouvolassa, Lahdessa ja Kotkassa

Lisätiedot

Riippumattomat arviointilaitokset

Riippumattomat arviointilaitokset Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä

Lisätiedot

Sähköisen asioinnin kehittäminen julkisessa hallinnossa SADe- ohjelma. Valtio Expo 2009 Helsinki Ylijohtaja Silja Hiironniemi

Sähköisen asioinnin kehittäminen julkisessa hallinnossa SADe- ohjelma. Valtio Expo 2009 Helsinki Ylijohtaja Silja Hiironniemi Sähköisen asioinnin kehittäminen julkisessa hallinnossa SADe- ohjelma Valtio Expo 2009 Helsinki 7.5.2009 Ylijohtaja Silja Hiironniemi Taustaa Hallitusohjelman mukaisesti julkisen hallinnon toimintaa, palvelurakenteita,

Lisätiedot

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 7.2.2012 2 Päivitetty 05.8.2016 SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ

Lisätiedot

REKISTERISELOSTE Henkilötietolaki (523/99) 10

REKISTERISELOSTE Henkilötietolaki (523/99) 10 REKISTERISELOSTE Henkilötietolaki (523/99) 10 Laatimispvm: 7.6.2011 Lue täyttöohjeet ennen rekisteriselosteen täyttämistä. Käytä tarvittaessa liitettä. 1. Rekisterinpitäjä Nimi Salon kaupunki liikuntapalvelut

Lisätiedot

Näkökulmia hallitusohjelmaan, digitalisaatioon ja toimintamme kehittämiseen - Mitä tulisi tehdä ja mitä teemme yhdessä, mikä on TIETOKEKOn ja

Näkökulmia hallitusohjelmaan, digitalisaatioon ja toimintamme kehittämiseen - Mitä tulisi tehdä ja mitä teemme yhdessä, mikä on TIETOKEKOn ja Näkökulmia hallitusohjelmaan, digitalisaatioon ja toimintamme kehittämiseen - Mitä tulisi tehdä ja mitä teemme yhdessä, mikä on TIETOKEKOn ja JUHTAn roolit? Seminaari 09.06.2015 Sirpa Alitalo & Markku

Lisätiedot

Kansallisarkiston koulutusohjelma 2017

Kansallisarkiston koulutusohjelma 2017 Kansallisarkiston koulutusohjelma 2017 Tenttipäivät Kansallisarkiston asiakirjahallinnon ja arkistotoimen perustutkinnon tenttipäivät 2017 Kansallisarkiston toimipaikoissa: Helsinki (Rauhankatu 17), Hämeenlinna,

Lisätiedot

Sisällysluettelo LIIKENNEVIRASTO OHJE 2 (7) 31.10.2011 Dnro 4258/005/2011

Sisällysluettelo LIIKENNEVIRASTO OHJE 2 (7) 31.10.2011 Dnro 4258/005/2011 LIIKENNEVIRASTO OHJE 2 (7) Sisällysluettelo 1 VARAUTUMISSUUNNITTELU... 3 1.1 Säädösperusta... 3 1.2 Varautumistoiminnan tavoite... 3 2 VARAUTUMISSUUNNITELMIEN LAADINTA... 4 2.1 Varautumistoiminnan hierarkia...

Lisätiedot

Luonnos: Projektisuunnitelma EU-tietosuoja-asetuksen toimeenpanon tukemiseksi

Luonnos: Projektisuunnitelma EU-tietosuoja-asetuksen toimeenpanon tukemiseksi Projektisuunnitelma 1 (7) 23.1.2017 Luonnos: Projektisuunnitelma EU-tietosuoja-asetuksen toimeenpanon tukemiseksi Kokonaisuus sisältää kaksi osaprojektia: 1) Tietosuojan verkkokoulutuskokonaisuus julkiselle

Lisätiedot

Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt

Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt Markkinoiden väärinkäyttöasetusta koskevat ohjeet Markkinoiden tunnustelun vastaanottavat henkilöt 10/11/2016 ESMA/2016/1477 FI Sisällysluettelo 1 Soveltamisala... 3 2 Viittaukset, lyhenteet ja määritelmät...

Lisätiedot

Ohje salauskäytännöistä

Ohje salauskäytännöistä Ohje salauskäytännöistä 11.11.2015 Kimmo Rousku VAHTI Tilaisuuden ohjelma 1/2 2 Tilaisuuden ohjelma 2/2 3 Esityksessäni Miksi salaus on tärkeää? Muuttunut uhkatilanne Salaus on mahdollistaja Ohjeen esittely

Lisätiedot

Korkeakoululaitoksen tietohallinnon kehittäminen & julkisen hallinnon kokonaisarkkitehtuuri

Korkeakoululaitoksen tietohallinnon kehittäminen & julkisen hallinnon kokonaisarkkitehtuuri Korkeakoululaitoksen tietohallinnon kehittäminen & julkisen hallinnon kokonaisarkkitehtuuri 30.10.2012 Ilmari Hyvönen Korkeakoulu- ja tiedepolitiikan osasto Aiheita Tietohallintolaki ja julkisen hallinnon

Lisätiedot

Informaatio- ja tietoteknologiaoikeuden professori Tomi Voutilainen. Kuntien tietohallinnon järjestäminen

Informaatio- ja tietoteknologiaoikeuden professori Tomi Voutilainen. Kuntien tietohallinnon järjestäminen Informaatio- ja tietoteknologiaoikeuden professori Tomi Voutilainen Kuntien tietohallinnon järjestäminen 26.2.2015 Kuntien tietohallinnon oikeudellinen asemointi 2 Lähtökohta Tietohallintolaki 3 1 k: Tietohallinnolla

Lisätiedot

Johdon tietoturvaopas

Johdon tietoturvaopas Johdon tietoturvaopas Valtionhallinnon tietoturvallisuuden johtoryhmä 2/2011 VAHTI Johdon tietoturvaopas Valtionhallinnon tietotur vallisuuden johtor yhmä 2/2011 VAHTI VALTIOVARAINMINISTERIÖ PL 28 (Snellmaninkatu

Lisätiedot

Tietoturvallisuusliite

Tietoturvallisuusliite Tietoturvallisuusliite [Yhteistyökumppanin nimi] STATUS Laatinut: Tarkastanut ja hyväksynyt: Versio no: Tiedoston nimi: Tallennushakemisto: Pvm SISÄLLYSLUETTELO Sisällysluettelo... 2 1 Määritelmät... 3

Lisätiedot

JHS-jaoston toiminta ja tavoitteet. JUHTA:n syysseminaari Kuntatalolla

JHS-jaoston toiminta ja tavoitteet. JUHTA:n syysseminaari Kuntatalolla JHS-jaoston toiminta ja tavoitteet JUHTA:n syysseminaari Kuntatalolla 19.9.2013 Toiminnan tavoitteiden ja painopisteiden määrittely Keinot JHS Tavoite Mitä ja minkälaisia suosituksia tavoitteiden toteutumisen

Lisätiedot

Tuloksellisuutta tekemässä Tietopolitiikka, ICT ja TORI

Tuloksellisuutta tekemässä Tietopolitiikka, ICT ja TORI Tuloksellisuutta tekemässä Tietopolitiikka, ICT ja TORI JulkICT-toiminto, strateginen ohjaus Neuvotteleva virkamies, yksikön päällikkö Riku Jylhänkangas VATU 29.5.2013 Tuloksellisuutta tekemässä Tehokkaat

Lisätiedot

Hankkeet ja yhteentoimivuus. OKM:n kirjastopäivät Minna Karvonen

Hankkeet ja yhteentoimivuus. OKM:n kirjastopäivät Minna Karvonen Hankkeet ja yhteentoimivuus OKM:n kirjastopäivät 2012 Minna Karvonen 12.12.2012 Hallitusohjelman kirjaukset Yhteentoimivuus: kansallista perustaa Kirjastoja kehitetään vastaamaan tietoyhteiskunnan haasteisiin.

Lisätiedot

SISÄISEN VALVONNAN PERUSTEET

SISÄISEN VALVONNAN PERUSTEET P A I M I O N K A U P U N K I SISÄISEN VALVONNAN PERUSTEET Hyväksytty kaupunginvaltuustossa 12.2.2015 11 Voimaan 1.3.2015 alkaen 1 Sisällysluettelo Lainsäädäntöperusta ja soveltamisala... 3 Sisäisen valvonnan

Lisätiedot

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste Rekisteriseloste Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste Versiot Hyväksytty 1 Johtoryhmä 7.2.2012 2 Päivitetty 05.8.2016 Rekisteriseloste SISÄLTÖ 1. REKISTERIN NIMI 2. REKISTERINPITÄJÄ

Lisätiedot