Laatua ja tehoa toimintaan

Transkriptio

1 Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat Aapo Immonen, Senior Manager, FCG konsultointi Oy Page 1

2 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät Tietoturvallisuuden attribuutit Tiedon omistajuus Tiedon turvaluokittelu Tiedon elinkaaren hallinta VAHTI KATAKRI Taloudellinen näkökulma Organisaation tietoturvallisuuden julkisuuskuva Tietoturvallisuuden toteutumisen raportointi tietotilipäätöksellä Page 2

3 Tavoitteet Tietoturvallisuus on kokonaisuus, joka tukee kokonaisarkkitehtuuria Informaation koko elinkaaren hallinta keskeistä Lähtee organisaation tavoitteista ja lainsäädännöstä Tietoturvapolitiikka kuvaa organisaation tai projektin tietoturvallisuudelle määritellyt tavoitteet Aineiston käyttö ja saavutettavuus perustuu ammatillisiin rooleihin sekä aineiston luokitteluun Tietoturvallisuus tulisi huomioida mahdollisimman varhaisessa suunnittelun vaiheessa synkronoituna suunnittelun vuosikellon kanssa. Jos tietoturvallisuuden poikkeamia huomataan vasta testaus- tai käyttöönottovaiheessa, aiheutuu siitä monikertaisia taloudellisia haasteita Page 3

4 Tietoturvallisuutta ohjaavat tekijät Organisaation omat tavoitteet - tukee strategiaa osana kokonaisarkkitehtuuria Lainsäädäntö, keskeisiä lakeja: - Henkilötietolaki (523/1999) Henkilötietolaissa keskeisimmät säännökset hyvän tietojenkäsittelytavan näkökulmasta ovat lain 2 luvun periaatteet: - huolellisuus- ja laillisuusvelvoite (5 ) - henkilötietojen käsittelyn etukäteissuunnittelu (6 ) - henkilötietojen käyttötarkoitussidonnaisuus ja käsittelyn rajoitukset (7-8 ) - henkilötietojen laatua koskevat periaatteet (9 ) - Laki julkisen hallinnon tietohallinnon ohjauksesta (634/2011) - Laki turvallisuusselvityksistä (177/ Sähköisen viestinnän tietosuojalaki (516/2004) - Laki yksityisyyden suojasta työelämässä (759/2004) - Arkistolaki (831/1994) - Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) - Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) - Laki viranomaisten toiminnan julkisuudesta (621/1999) Page 4

5 Tietoturvallisuuden attribuutit LUOTTAMUKSELLISUUS EHEYS KÄYTETTÄVYYS Page 5

6 Tiedon omistajuus Keskistä tiedon omistajuudelle on sen kontrolloitavuus, jossa ilmenee kuka on luonut tiedon, kuka saa modifioida, arkistoida, jakaa, hyödyntää sekä tuhota tietoa. Omistajuus merkitsee oikeutta myöntää muille oikeuksia tiedon käytölle. Keskeistä on ymmärtää tiedon omistajan vastuu tiedoista. Organisaatioiden tulisi määritellä kaikille tietoaineistoilleen ja järjestelmilleen omistajat Page 6

7 Tiedon turvaluokittelu Valtionvarainministeriön julkaisema Valtionhallinnon tietoaineistojen ka sittelyn tietoturvallisuusohje määrittelee luottamuksellisen aineiston suojaustasot seuraavasti: Suojaustaso IV (ST IV), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille tai, jos kysymys on tietoturvallisuusasetuksen 9 :n 2 momentissa tarkoitetuista asiakirjoista, jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä. KÄYTTÖ RAJOITETTU. Suojaustaso III (ST III), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleisille tai yksityisille eduille ja oikeuksille. LUOTTAMUKSELLINEN. Suojaustaso II (ST II), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille. SALAINEN. Suojaustaso I (ST I), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille, ERITTÄIN SALAINEN Page 7

8 Tiedon elinkaaren hallinta Tiedon elinkaaren hallinnalla tarkastellaan: Mistä tieto on muodostunut Kuka sen omistaa Kenellä on käyttö- ja muokkausoikeudet tietoon. Lisäksi on syytä määritellä miten, kuinka kauan ja missä dataa säilytetään sekä milloin ja miten se aikanaan tuhotaan Page 8

9 VAHTI Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet. Tavoitteena on ohjata valtionhallinnon tietoturvatoimenpiteitä ja tietosuojan kehittämistä ohjaamalla organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä sekä edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä. VAHTI dokumentteihin on kerätty määräyksiä ja ohjeita ohjaamaan kokonaisvaltaisesti tietoturvallisuuden toteutumista eri hallinnonaloilla. Ajankohtaista tietoa ja linkit VAHTI dokumenttikokoelmaan löytyy osoitteesta: Page 9

10 KATAKRI Tuotettu osana sisäisen turvallisuuden ohjelmaa vuonna 2009 luottamuksellisen datan käsittelyä koskevassa hankkeessa Puolustusvoimat ja Suojelupoliisi aloitteellisina organisaationa Konsultoinnin ja virallisten auditointien työväline Tavoitteena on ollut tuottaa selkeästi mitattavia ja arvioitavia tietoturvallisuusohjeistuksia sekä sisäiseen että organisaatioiden väliseen yhteistyöhön Tuloksena syntyi strukturoitu auditointikriteeristö eri viranomaistoimijoille tiedon turvaamiseen sekä turvallisuuden toteutumisen arviointiin. Yhtenäistää viranomaistoimintoja silloin, kun viranomainen toteuttaa yrityksessä tai muussa yhteisössä kohteen turvallisuustason todentavan auditoinnin Auttaa yrityksiä ja muita yhteisöjä sekä myös viranomaisia sidosryhmineen omassa sisäisessä turvallisuustyössä Page 10

11 Taloudellinen näkökulma Taloudellisesta näkökulmasta kyse on riskin ja investoinnin välisestä suhteesta, jossa on kiinnitettävä erityistä huomioitava lainsäädännön asettamiin vaatimukset tiedon ja informaation elinkaaren hallintaan. Tietoturvallisuuden investoinnit on mitoitettava vastaamaan arvioita, kuinka suuri uhka on tiedon tai prosessien aikana syntyvän tiedon oikeudettomalle paljastumiselle, joka voi aiheuttaa haittaa, vahinkoa, merkittävää vahinkoa tai erityisen suurta vahinkoa valtion, yleisen tai yksityisen eduille ja oikeuksille. Edullisinta onkin huomioida tietoturvallisuus prosessien suunnitteluvaiheessa. Tuotantoympäristöön tehtävät tietoturvapoikkeamista syntyvät muutokset ovat aina kalliita ja budjetoimattomia kulueriä Page 11

12 Organisaation tietoturvallisuuden julkisuuskuva Toimivan kunnan yksi keskeisimpiä vaatimuksia on ylläpitää kuntalaisten luottamus kaikkea kunnan toimintaa kohtaan Keskeistä luottamuksellisen tiedon aisanmukainen käsittely Tiedon oikeellisuuden ja alkuperäisyyden tunnistaminen Kuntien siirtäessä palvelujaan entistä enenemään jaettavaksi ICT:tä hyväksikäyttäen, on kuntalaisten näkökulmasta tiedon käytettävyyteen kiinnitettävä erityistä huomiota Page 12

13 Tietoturvallisuuden toteutumisen raportointi tietotilipäätöksellä Laadukas tietotilinpäätös antaa kokonaiskuvan organisaation tietojenkäsittelyn nykytilasta Kuvataan: Mitä tietovarantoja organisaation hallussa on, Mihin tarkoitukseen tietoja käytetään Arvio tietosuojan ja tietoturvan toteutumisesta. Kriittisen tietoturvapoikkeamat Organisaation toimintaan liittyvät tietovirrat Yhtyeentoimivuuden tietojenkäsittelyn kanssa Miten lain määrittelemä tietosuoja toteutetaan tietoturvallisuuden eri attribuuteilla osana organisaation toiminnassa jokapäiväistä toiminataa sisältäen myös riskisenhallinnan toteutuksen Page 13

14 Esimerkki tietotilinpäätöksen sisällöstä Mitä tietovarantoja organisaation hallussa on Mikä on organisaation tietoarkkitehtuuri Mikä on organisaation hallussa olevien tietojen laatu ja käytettävyys Mitä menettelytapoja ja periaatteita tietojen käsittelyssä noudatetaan Miten tiedot on suojattu Miten tietojen käyttöä valvotaan Miten rekisteröityjen oikeudet tietojen käsittelyssä toteutetaan (Tietosuojavaltuutetun toimisto, 2012) Page 14