Tietoturvatarkastuksen teettäjän pikaopas
|
|
- Kari Saarnio
- 8 vuotta sitten
- Katselukertoja:
Transkriptio
1 Tietoturvatarkastuksen teettäjän pikaopas Joulukuu 2013
2 Johdanto Yritysten toiminta nojaa nykyään hyvin toimiviin ja turvallisiin tietojärjestelmiin. Kuitenkin neljä viidestä tietoturvatarkastuskohteesta sisältää vakavia haavoittuvuuksia, jotka altistavat kohteen hyväksikäytölle. Verkottuneessa kyberympäristössä yrityksen järjestelmät ovat avoinna mistä päin maailmaa tahansa tehdyille hyökkäyksille. Kyberhyökkäykset ovat myös erittäin edullisia ja tekijöilleen helppoja toteuttaa. Yritykset kohtaavat pääsääntöisesti kahden tyyppisiä hyökkäyksiä: 1) massahyökkäyksiä, joissa kohteena voi olla mikä tahansa haavoittuva järjestelmä ja 2) kohdistettuja hyökkäyksiä, joissa pyritään vaikuttamaan nimenomaan kohdeyritykseen. Tietoturvatarkastus on mittari ja kontrolli, jonka avulla voidaan tehokkaasti tarkentaa käsitystä omiin järjestelmiin liittyvistä uhkakuvista. Tarkastuksessa havaitaan puutteita ja esitetään kehityskohteita yrityksen ja sen tietojärjestelmien turvallisuudessa. Tarkastukset tehdään yleensä tietojärjestelmille tai -järjestelmäkokonaisuuksille, mutta monesti saattaa myös olla tarve selvittää kokonaisvaltaisemmin organisaation tietoturvakäytäntöjä. Tarkastus on erikoisosaamista vaativaa työtä, joka yleensä kannattaa teettää siihen erikoistuneella toimijalla. Tarkastuksen kohteen määritykseen ja teettämiseen liittyy kuitenkin seikkoja, jotka kannattaa pitää mielessä, että lopputulos on halutunlainen. Tämä muistilista helpottaa sujuvan tarkastuksen teettämistä. Sitä voidaan käyttää riippumatta siitä, tehdäänkö tarkastus ulkopuolisen tahon tai yrityksen omin voimin. Tietoturvatarkastus on investointi, jonka tuottavuus on mahdollista varmistaa rajaamalla hanke oikein ja miettimällä tavoitteet huolellisesti. Asiantuntijatyötä edellyttävien ja erillisenä projektina suoritettavien tarkastusten hintahaarukka vaihtelee yleensä euron välillä. Olemme tunnistaneet 10 kohtaa, jotka tulisi ottaa huomioon tietoturvatarkastuksen eri vaiheissa. Käsittelemme tässä dokumentissa kutakin kohtaa tarkemmin. 1 Perustele tarve Tarkastuksen motiivi ja syyt vaihtelevat. Aivan aluksi on hyvä tehdä itselle selväksi, miksi kyseinen tarkastus tehdään. Voi osoittautua, että tarkastusta ei edes kyseiseen tarpeeseen ole tarvetta tehdä. Hyvät perustelut auttavat myös tarkastuksen tekijää perustelemaan tarkastushavainnot ymmärrettävästi. Seuraavilla apukysymyksillä ja esimerkeillä voi hahmottaa tarvetta. MIKÄ ON TARKASTUKSEN PÄÄTARKOITUS? Haluan vakuuttaa omat asiakkaani tuotteemme/palvelumme/ratkaisumme turvallisuudesta. Vaatimuksenmukaisuus (esim. PCI / Tietoturvatasot) edellyttää tarkastuksen tekemistä. Haluan varmistaa, että järjestelmä on turvallinen, koska järjestelmä käsittelee sensitiivistä tietoa tai rahaa. Järjestelmä on liiketoimintakriittinen, ja palvelun keskeytyminen on kallista. Prosessimme edellyttää tarkastuksen tekemistä. Tietojärjestelmääni on jo tunkeuduttu. Haluan varmistaa, että tätä ei tapahdu jatkossa. OVATKO OLETETUT UHKATEKIJÄT ULKOISIA VAI SISÄISIÄ JA TAHATTOMIA VAI TAHALLISIA? Hakkeriryhmät ja haktivistit Kilpailijat Järjestäytynyt rikollisuus Organisaation työntekijät Oma tai vieraan valtion hallitus Luonnonilmiöt Asiakkaat tai käyttäjät 1. PERUSTELE TARVE 2. RAJAA TARKASTUS 6. SUUNNITTELE JA SOVI 7. VALMISTELE MITKÄ OLISIVAT VAKAVIMMAT SEURAUKSET TAI VAIKUTUKSET MAHDOLLISTEN UHKIEN TOTEUTUESSA? Maineen menetys Kilpailuedun menetys Rahallinen menetys Ihmishenkien menetys Liiketoiminnan häiriö tai keskeytyminen Organisaation tietoverkkojen tai -järjestelmien väärinkäyttö Sidosryhmien yksityisyyden loukkaus 3. ENNAKOI AIKATAULUT 4. PYYDÄ TARJOUS 5. ARVIOI TARKASTUSMENETELMÄ 8. VALVO 9. VARMISTU TULOKSISTA 10. KÄSITTELE TULOKSET MIHIN KYSYMYKSIIN ERITYISESTI HALUAT SAADA TARKASTUKSELTA VASTAUKSET? Miten järjestelmän tietoturvan taso suhtautuu muiden vastaavien järjestelmien tietoturvallisuuteen? Onko kumppanilta ostettu palvelu toteutettu turvallisesti ja sovitut kontrollit toteutettu asianmukaisesti? Onko järjestelmiä ylläpidetty ja kehitetty sovitusti ja suunnitellusti? Ovatko tiedon ja järjestelmien luottamuksellisuus, eheys ja saatavuus turvattu? Ovatko lainsäädännön tai toimielinten asettamat vaatimukset täytetty järjestelmän toteutuksessa ja ylläpidossa? Toimivatko sisäiset IT- ja kehitysprosessit järjestelmän tietoturvan tason varmistamisen kannalta? 2 Tietoturvatarkastuksen teettäjän pikaopas 3
3 NIMEÄ SIDOSRYHMÄT, JOILLE TARKASTUS TULEE PERUSTELLA, JA SELVITÄ NÄMÄ TARPEET MYÖS HEILTÄ: Järjestelmän ja liiketoiminnan omistaja Tietoturvallisuusvastaava Kehittäjät Ylläpitäjät Kumppanit Käyttäjät (tarvittaessa) 2 Rajaa tarkastus 3 Ennakoi aikataulut Aikataulu kannattaa suunnitella siten, että kalenteriaikaa lasketaan taaksepäin siitä päivämäärästä, kun järjestelmän pitäisi olla turvallinen ja valmis käyttöönottoon. Esimerkiksi tyypillinen teknisen tason tarkastus kestää yleensä 5 kalenteriviikkoa aloituspalaverista päätöspalaveriin. Hyvä nyrkkisääntö on, että tarkastus käynnistetään viimeistään 8 kalenteriviikkoa ennen takarajaa, jolloin myös mahdollisille korjaaville toimenpiteille jää aikaa. VARAA TARKASTUS HYVISSÄ AJOIN. Käynnistä tarkastusprojekti ajoissa sekä omassa organisaatiossasi että tarkastuksen tekijällä. Varaamalla tarkastuksen hyvissä ajoin varmistat, että tarkastukselle on sopiva, asiantunteva tekijä. Tietojärjestelmät ovat yksittäisiä palveluita tai isoja järjestelmäkokonaisuuksia, jotka koostuvat useista moniin muihin järjestelmiin liittyvistä alijärjestelmistä. Käytännössä tarkastus on kuitenkin tehtävä rajallisessa ajassa rajattuun ympäristöön rajatussa laajuudessa. Rajaa tarpeen perusteella, mistä kokonaisuudesta haluat saada kuvan: YKSITTÄINEN JÄRJESTELMÄ TAI SOVELLUS Ulkoisten rajapintojen haavoittuvuudet (esim. Web UI, SOAP/ REST, SMS) Palvelinten asetukset Sisäiset hallintakäyttöliittymät Integraatiorajapinnat (SOAP / REST) Järjestelmän kehitykseen ja hallintaan liittyvät käytännöt ORGANISAATION INFRASTRUKTUURI TAI SEN OSA Pilvipalvelut Verkot, laitteet ja palvelimet Työasemat ja mobiililaitteet Verkkoarkkitehtuuri Ylläpitokäytännöt ja -prosessit KOKO ORGANISAATION TIETOTURVALLISUUS Organisaation tietoturvaprosessit ja hallintamallit Tietoturvallisuuden jalkautuminen käytännössä HUOMIOI TARKASTUKSEN KESTO KALENTERIAJASSA KAIKKINE VAIHEINEEN. Aloituspalaveri Suunnittelut ja valmistelut Tarkastuksen tekeminen Raportointi ja lopetuspalaverit VARAA KORJAUKSIIN RIITTÄVÄSTI AIKAA. Tyypillisesti tarkastuksissa havaitaan mahdollisesti useitakin kriittisiä ongelmia, joiden korjaus voi viedä aikaa. 4 Pyydä tarjous Tarjous kannattaa pyytää aina kirjallisena ja usein myös kiinteästi hinnoiteltuna. Jos yrityksesi teettää useampia tarkastuksia vuodessa, on järkevää valita yksi tarkastaja koko kokonaisuudelle. Tällöin tarkastaja oppii tuntemaan paremmin liiketoimintanne luonnetta sekä toimintatapaanne ja sitä kautta antamaan parempia suosituksia. Tarkastusten toteuttaminen prosessina myös tehostaa oman organisaatiosi toimintaa. TEE TARVITTAESSA SALASSAPITOSITOUMUS TARKASTUKSEN TOIMITTAJA- EHDOKKAIDEN KANSSA. Mikäli tarkastettava kohde ei ole julkista tietoa, tee salassapitositoumus ennen tarjouksen lähettämistä. ILMOITA TARJOUSPYYNNÖSSÄ AIKATAULU JA PAIKKA, MISSÄ JA MILLOIN TARKASTUS PITÄISI TEHDÄ JA MILLOIN TULOSTEN TULISI OLLA KÄYTETTÄVISSÄ. Huomioi, että tiukka aikataulu, viikonloput tai toimistoajan ulkopuolella tehtävät työt saattavat vaikuttaa kustannuksiin. KUVAA MAHDOLLISIMMAN TARKASTI TARVE SEKÄ TARKASTUKSEN KOHDE RAJAUKSINEEN. Pyri pitämään kohteen kuvaus mahdollisimman ytimekkäänä, kymmensivuiset dokumentit saattavat vaikeuttaa tarjouksen rajaamista. 4 Tietoturvatarkastuksen teettäjän pikaopas 5
4 KUVAA TARKASTUKSESSA VAADITTAVA ERITYISOSAAMINEN. Tarkastuksen tekijältä voidaan vaatia erityistä sertifiointia eri toimielimien tai säädöksien takia. Ole kuitenkin realistinen sen suhteen, mitä erityisosaamisalueita voidaan vaatia yhdeltä henkilöltä. ILMOITA, MIHIN SOPIMUSEHTOIHIN TOIMITTAJAN TULEE SITOUTUA. Esimerkiksi henkilökohtaiset vaitiolositoumukset ILMOITA, MIHIN TAKARAJAAN MENNESSÄ TARJOUS ON TOIMITETTAVA. Takaraja varmistaa sen, että tarjouksen ennakoitu aikataulu pysyy kurissa. 5. Arvioi tarkastusmenetelmä Kun olet saanut tarjouksen, arvioi siitä vähintään tässä kappaleessa kuvatut asiat. Jos tarjouksessa ei ole mainintaa näistä kohdista, selvitä asiat tarkastuksen toimittajalta. Näiden avulla voidaan päätellä, täyttääkö tarjottu tarkastus vaatimukset. Käytössä on monenlaisia termejä, jotka tarkoittavat eri toimijoilla eri asioita. Esimerkiksi pelkkä penetraatiotestaus, skannaus, koodin katselmointi, uhkamallinnus / -analyysi, gapanalyysi, auditointi, evaluointi tai dokumentaation katselmointi tms. eivät ole vielä täsmällisiä määritelmiä sellaisenaan, vaan kannattaa selvittää, mihin menetelmiin tarkastus nojautuu. Eri menetelmillä voidaan päästä samoihin lopputuloksiin, mutta eri menetelmissä on myös omat vahvuutensa tietyissä ympäristöissä. KÄYTETYT TARKASTUSMENETELMÄT JA VIITEKEHYKSET Perustuuko tarkastus automatisoituihin työkaluihin vai manuaaliseen työhön? OWASP ASVS (web-sovellukset) CIS, NIST (alustojen turvallisuus) ISO (tietoturvakäytännöt) PCI (maksukorttijärjestelmät) VAHTI, tietosuojalainsäädäntö jne. TYÖVAIHEET/TARKASTUSPROSESSI Onko tarkastuksen eri vaiheet kuvattu selvästi? Ovatko eri työvaiheiden tavoitteet ja tulokset kuvattu ymmärrettävästi? Ovatko työmenetelmät tarkoitukseen sopivia ja mahdollisia toteuttaa kohdeympäristössä? PROJEKTIKÄYTÄNNÖT Aloitus- ja lopetuspalaverit Tietojen, kuten raportin ja esitietojen, turvallinen välittäminen Järjestelyt sairastapausten ja muiden erityistilanteiden varalta RIIPPUMATTOMUUS Myykö toimittaja ohjelmistotuotelisenssejä, jotka saattavat ohjata tarkastustuloksia? Onko tarkastajalla sidoksia järjestelmään (mukana kehityksessä, omistajuudet)? TUOTOSTEN LAATU Varmistu, että tarkastuksesta saatava raportti vastaa tarvetta ja siinä kuvataan myös vaikutuksia, ilmenemistapoja ja korjaustoimenpiteitä yms. Raportin ei tule olla pelkkä havaintoluettelo. Raportin laadusta vastaa kokenut henkilö, joka myös osallistuu palavereihin. Raportissa on johdon yhteenveto, jossa tarkastuksen tulokset avataan liiketoiminnan kannalta ymmärrettävästi. Raportissa on vakavuuden perusteella priorisoidut havainnot. Pyydä malliraportti nähtäväksi. KOMMENTOINTIAIKA Asiakkaalla on oikeus pyytää korjauksia loppuraporttiin ilman erillistä veloitusta, mikäli tulokset eivät vastaa etukäteen sovittua. KUSTANNUS JA HINNOITTELU Onko hinta epäilyttävän pieni tai suuri? Vertaile tarjouksia ja selvitä hintaerojen syyt. Kiinteä hinta vs. työmääräarviopohjainen tuntihinta? 6 Suunnittele ja sovi Kun tarkoitukseen sopivin tarjous on valittu, on sen toteuttaminen suunniteltava ja sovittava kaikkien osapuolten kesken. Tietoturvatarkastukset joudutaan monesti tekemään järjestelmiin, jotka ovat esimerkiksi tuotantokäytössä tai hyväksymistestauksessa, jolloin kohdejärjestelmässä on muuta käyttöä. Huolehdi, että kaikki osapuolet osallistuvat aloituspalaveriin tai vähintään saavat ja lukevat aloituspalaverin muistiinpanot. TARKASTUKSEN LAAJUUS JA RAJAUKSET Varmista, että tarjotun tarkastuksen laajuus on riittävä, eikä mitään oleellista ole rajattu tarkastuksen ulkopuolelle. VARMISTU JO SOPIMUSHETKELLÄ, ETTÄ KAIKKI OSAPUOLET SITOUTUVAT SOVITTUUN AJANKOHTAAN JA OTTAVAT HUOMIOON ESIMERKIKSI HYVÄKSYMIS- JA SUORITUSKYKY- TESTAUKSET TAI LOMAKAUDET: TOIMITTAJAN KOKEMUS JA AMMATTITAITO Järjestelmään soveltuva asiantuntemus ja kokemus kehittäjät/testaajat oma operaattori palveluntarjoaja hosting-kumppani tarkastuskumppani. 6 Tietoturvatarkastuksen teettäjän pikaopas 7
5 PIDÄ KAIKKI OSAPUOLET TIETOISINA AIKATAULUIHIN LIITTYVISTÄ MUUTOKSISTA HYVISSÄ AJOIN JA SOVI, ETTÄ KAIKKI OSAPUOLET TOIMIVAT SAMOIN. VARMISTA, ETTÄ KAIKILLA OSAPUOLILLA (OPERAATTORIT, PALVELUNTARJOAJAT) ON TARVITTAVAT TARKASTUSLUVAT. Monet pilvipalveluntarjoajat vaativat ilmoitukset tietoturvatarkastuksista muutama päivä etukäteen. Tarjoajilla on yleensä lomake hallintasovelluksessa, jonka kautta ilmoituksen voi tehdä. SOVI, ETTÄ TARKASTAJA ILMOITTAA AINAKIN KRIITTISET LÖYDÖKSET VÄLITTÖMÄSTI, JOTTA NE VOIDAAN OTTAA KORJAUKSEEN MAHDOLLISIMMAN PIAN. 8 Valvo Tarkastuksen aikana käytetään monenlaisia menetelmiä, jotka voivat aiheuttaa erilaisia virhetilanteita. Näitä virhetilanteita kannattaa seurata ja tutkia mistä virheet johtuvat. Jos tarkastuksen kohteena on tuotantojärjestelmä, on erityisesti syytä valvoa tarkastuksen ajan sitä, miten järjestelmä käyttäytyy. TARKASTUKSEN TEKIJÄ Varmista, että tekijöiden kokemus vastaa tarjouksessa sovittua tasoa. Valvo, että tekijä suorittaa tarkastusta ja kommunikoi sovittujen käytäntöjen mukaisesti. 7 Valmistele Tarkastus on suositeltavaa tehdä aina mahdollisimman tuotannonkaltaisessa ympäristössä. Kannattaa kuitenkin varmistua, ettei tarkastus vaikuta tuotantokäyttöön tai toiminnan jatkuvuuteen. Valmistelujen tarkoituksena on varmistaa, että tarkastus etenee alusta loppuun mahdollisimman sujuvasti. VARMISTA TOIMINNAN JATKUVUUS TARKASTUKSEN AIKANA. Varmista, että koko tarkastuksen aikana on valmius tarvittaessa esimerkiksi käynnistää järjestelmät uudelleen ja palauttaa järjestelmä toimintakuntoon ja tiedottaa mahdollisia sidosryhmiä katkoksista. Järjestelmää tarkastettaessa tee tuotantoa vastaava tarkastukselle varattu erillinen testausympäristö, jossa ei käsitellä tuotantodataa. Ota ennen tarkastusta järjestelmistä varmuuskopiot olipa kyseessä sitten tuotanto- tai testiympäristö jotta järjestelmän palauttaminen on mahdollisimman nopeaa. KERÄÄ TARKASTUKSEEN TARVITTAVA TAUSTAMATERIAALI HYVISSÄ AJOIN. Taustamateriaali, kuten arkkitehtuurikuvaus, ei välttämättä ole ajan tasalla ja voi vaatia päivityksiä ennen toimittamista. SELVITÄ, MIHIN KAIKKIALLE JÄRJESTELMÄ MAHDOLLISESTI OTTAA YHTEYKSIÄ TARKASTUKSEN AIKANA, JA TIEDOTA TÄSTÄ KAIKILLE OSAPUOLILLE. Esimerkiksi web-sovellusten palaute- tai rekisteröintilomakkeet saattavat automaattisen skannauksen yhteydessä aiheuttaa merkittäviä määriä sähköpostia. Erilaiset toimenpiteet saattavat aiheuttaa hälytyksen valvontajärjestelmissä, mistä voi aiheutua turhaa työtä. TARKASTUKSEN KOHDE Valvo, että kohdeympäristö toimii normaalisti. Esimerkiksi tuotantojärjestelmän tilaa on syytä seurata tarkastuksen aikana tavanomaista tarkemmin. AIKATAULUT Valvo, että erilaiset muutostilanteet tarkastuksen aikana myöskin huomioidaan muussa aikataulussa, ja niiden vaikutus lopulliseen aikatauluun selviää. VÄLITUOTOKSET Mikäli on sovittu välituotoksia, kuten viikkoraportointia, valvo että niitä toimitetaan ja niiden laatu on sovitulla tasolla. 9 Varmistu tuloksista Tarkastuksesta saadaan tyypillisesti havaintoluettelo, joka on yleensä raportin muodossa. Raportti on tärkein tuotos tarkastuksesta, ja on tärkeä varmistua, että siinä esitetyt havainnot ovat ymmärrettäviä kaikille osapuolille. KÄY LÄPI RAPORTTI ENNEN LOPETUSPALAVERIA. Kirjaa muistiin kaikki esiin tulleet kysymykset ja lähetä kysymykset tarkastajalle. VARMISTA, ETTÄ KAIKKI ASIANOSAISET YMMÄRTÄVÄT JA VAHVISTAVAT HAVAINNOT. Pyydä kustakin havainnosta vastine tarpeellisilta sidosryhmiltä, esimerkiksi järjestelmän toimittajalta. VARMISTA, ETTÄ VAADITUT ESITIEDOT ON TOIMITETTU JA JÄRJESTELYT ON TEHTY HYVISSÄ AJOIN ENNEN TARKASTUKSEN SUUNNITELTUA ALOITUSTA. Vahvista tarkastuksen tekijältä ja muilta sidosryhmiltä, että valmius tarkastuksen tekemiseen on olemassa viimeistään tarkastusta edeltävällä viikolla. 8 Tietoturvatarkastuksen teettäjän pikaopas 9
6 VARMISTA, ETTÄ RAPORTISSA KÄY SELVÄSTI ILMI: tarkastuksen laajuus käytetyt menetelmät tarkastetut osa-alueet tarkastuksen ulkopuolelle sovitut osa-alueet havaintojen kuvaukset, vaikutukset ja korjausehdotukset lausunto niistä tarkastetuista osa-alueista, joista ei ollut havaintoja. Sanasto Termi Uhka Riski Selitys Järjestelmään kohdistuva ei-toivottu tapahtuma, joka esimerkiksi vaikuttaa järjestelmän tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen. Uhan arvioitu kriittisyys sen toteutumisen vaikutuksen ja todennäköisyyden perusteella. VARMISTA, ETTÄ TARKASTUSRAPORTISSA ON SELVÄT VASTAUKSET KYSYMYKSIIN JA TARPEISIIN, MIKSI TARKASTUS ALUN PERIN TEETETTIIN. Käy läpi tarjouspyyntö, tarjous, aloituspalaverin muistio ja vertaa niitä loppuraporttiin. VARMISTA, ETTÄ TULOKSET JA JOHTOPÄÄTÖKSET KÄYDÄÄN LÄPI ASIANOMAISTEN KESKEN LOPETUSPALAVERISSA. Vahvista, että havainnoista ei ole epäselvyyksiä tai avoimia kysymyksiä. 10 Käsittele tulokset Jotta tarkastuksesta saadaan paras hyöty irti, on tärkeää, että raportti ei unohdu pöytälaatikkoon. Tulosten käsittelyprosessin tulee jatkua, kunnes kaikki havainnot on todennetusti korjattu tai tietoisesti päätetty jättää korjaamatta hyväksymällä niihin liittyvät riskit. VASTUUTA JA AIKATAULUTA KORJAUSTOIMENPITEET. Kontrolli Haavoittuvuus Tarkastus Murto- tai penetraatiotestaus Auditointi Katselmointi Mekanismi, jolla pyritään rajoittamaan uhan toteutumista. Kontrolleja voi olla esimerkiksi politiikkadokumentti, prosessi, turvalaite tai tekninen toiminto ohjelmakoodissa. Puuttuva tai puutteellisesti toteutettu kontrolli, joka mahdollistaa uhan toteutumisen. Hallinnol lisella tasolla voi olla puutteellisia käytäntöjä. Järjestelmätasolla puhutaan monesti ohjelmointi- tai konfigurointivirheestä. Tarkastuksessa kohteen tietoturvakontrolleja verrataan tietyn standardin, viitekehyksen tai yleisten hyvien käytäntöjen määrittelemiin kontrolleihin. Tavoitteena on selvittää, minkälaisia puutteita järjestelmän kontrolleissa on. Murtotestauksella pyritään osoittamaan puutteita tietojärjestelmän tai organisaation kontrol leissa toteuttamalla hyökkäys käytännössä. Murtotestaus voi perustua tarkastuksen tuloksiin tai se voidaan tehdä itsenäisenä työnä. Auditointi ja tarkastus ovat käytännössä sama asia, mutta auditointi-sanaa käytetään Suomessa erityisesti tiettyjen ulkoisten vaatimusten tarkastamiseen kun tavoitteena on standardin- ja vaatimustenmukaisuuden sertifiointi. Katselmointi tehdään kirjalliselle materiaalille, kuten dokumentaatiolle, teknisille konfiguraatioille tai lähdekoodille. Erilaisista arkkitehtuuri- ja määritelmädokumenteista voidaan havaita, ottavatko ne kantaa tiettyihin vaatimuksiin. Tavoitteena on havaita mm. puutteita tai ristiriitaisuuksia. MIKÄLI JOKIN ASIA JÄÄ KORJAAMATTA ESIMERKIKSI KUSTANNUSSYISTÄ, PYYDÄ SELVÄ HYVÄKSYNTÄ TÄSTÄ AIHEUTUVILLE RISKEILLE JÄRJESTELMÄN OMISTAJALTA TAI HÄNEN ESIMIEHELTÄÄN. VARMISTA, ETTÄ HAVAINNOT TULEVAT KORJATUKSI SOVITUSSA AIKATAULUSSA. JOS KORJAUKSIA EI OLE TEHTY, SOVI AINA UUSI AIKATAULU. TILAA UUSINTATARKASTUS AINAKIN KRIITTISTEN ONGELMIEN OSALTA, JOTTA VARMISTAT, ETTÄ KORJAUKSET ON TEHTY OIKEIN EIVÄTKÄ NE OLE AIHEUTTANEET MAHDOLLISIA UUSIA ONGELMIA. Gap-analyysi Skannaus Uhkamallinnus Uhka-analyysi Gap- tai kuiluanalyysin avulla pyritään selvittämään puutteet tai puutealueet, joita kohdeorganisaatiolla on tiettyyn standardin- tai vaatimustenmukaisuuteen pääsemiseksi. Gap-analyysi voidaan tehdä aluksi kevyesti ylätasolla osa-alueittain. Skannaus on pitkälle automatisoitu toimenpide, jolla pyritään havaitsemaan yleisiä haavoittuvuustyyppejä järjestelmästä. Skannaus voidaan jakaa useaan alatyyppiin: verkko- ja haavoittuvuusskannaus, sovellusskannaus, lähdekoodianalyysi (staattinen/dynaaminen). Skannereiden käyttö ja tulosten tulkinta vaativat usein huolellista läpikäyntiä sekä ammattitaitoa. Työkalut tuottavat monesti vääriä hälytyksiä. Uhkamallinnuksella pyritään konkreettisesti etsimään uhkia järjestelmässä käymällä esimerkiksi läpi järjestelmällisesti teknisen toteutuksen vuo- ja sekvenssikaavioita ja tutkimalla, miten eri tietoturvakontrollit ja hyökkäystavat on huomioitu eri vaiheissa. Apuna voidaan käyttää esimerkiksi hyökkäyspuun laatimista. Uhka-analyysillä pyritään tunnistamaan järjestelmän tai organisaation suojattaviin kohteisiin ja liiketoimintoihin liittyviä tietoturvauhkia sekä arvioimaan näiden todennäköisyyksiä ja vaikutuksia. Analyysitapoja on monenlaisia, ja menetelmä kannattaa valita tilanteen mukaan järkeväksi, vaikka useimmilla menetelmillä päästäänkin samansuuntaisiin lopputuloksiin. Evaluointi Tietyn kontrollin toteutustavan valinta muutamasta vaihtoehdosta. Evaluointi yleensä pitää sisällään myös jonkintasoisen tarkastuksen evaluoitaville ratkaisuille. Evaluointikriteeristö voidaan valita joko nykyisistä kriteeristöistä tai määritellä tapauskohtaisesti. 10 Tietoturvatarkastuksen teettäjän pikaopas 11
7 Nixu Oy on Pohjoismaiden suurin tietoturvakonsultointiyritys. Yritysasiakkaamme luottavat riippumattomaan osaamiseemme tietoturvan kehitykseen, toteutukseen ja tarkastukseen liittyvissä hankkeissa. Varmistamme asiakkaidemme tietovastuun toteutumisen huolehtimalla toiminnan jatkuvuudesta, sähköisten palvelujen esteettömyydestä sekä asiakastietojen suojaamisesta. Nixu Oy PL 39 (Keilaranta 15), FI Espoo, Finland Puhelin: Fax: Y-tunnus: Internet: Copyright 2013 Nixu Oy/Ltd. All Rights Reserved.
Standardit tietoturvan arviointimenetelmät
Standardit tietoturvan arviointimenetelmät Tietoturvaa teollisuusautomaatioon (TITAN) VTT Auditorio, Vuorimiehentie 5, Espoo, 9.11.2010 Jarkko Holappa Tietoturvallisuuden arviointi osana tietoturvan hallintaa
LisätiedotTietoturvakonsulttina työskentely KPMG:llä
Tietoturvakonsulttina työskentely KPMG:llä Helsingin Yliopisto 28 Helmikuuta 2014 Agenda Agenda Työtehtävistä yleisesti Esimerkkejä Osaamisen/toiminnan kehittäminen 1 Turvallisuuden arviointi / auditointi
LisätiedotTietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.
Tietoturvallisuuden kokonaisvaltainen hallinta 3.12.2015 Heikki O. Penttinen Castilsec Oy Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti
LisätiedotSisäänrakennettu tietosuoja ja ohjelmistokehitys
Sisäänrakennettu tietosuoja ja ohjelmistokehitys Petri Strandén 14. kesäkuuta, 2018 Petri Strandén Manager Cyber Security Services Application Technologies Petri.stranden@kpmg.fi Petri vastaa KPMG:n Technology
LisätiedotKYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut
KYBERTURVAPALVELUT VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta Kyberhyökkäykset ovat yleistyneet huolestuttavalla vauhdilla. Liiketoiminnan jatkuvuuden turvaaminen edellyttää
LisätiedotMistä on kyse ja mitä hyötyä ne tuovat?
Pilvipalvelut Mistä on kyse ja mitä hyötyä ne tuovat? Pilvipalvelut - Mistä on kyse ja mitä hyötyä ne tuovat? Suurin osa kaikista uusista it-sovelluksista ja -ohjelmistoista toteutetaan pilvipalveluna.
LisätiedotISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ
ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ IMS Business Solutions Oy, J Moisio 10/ 2016 2.10.2016 IMS Business Solutions Oy 2 ISO 9001:2015 PROSESSIEN AUDITOINTIKYSYMYKSIÄ ISO 9001:2015
LisätiedotHAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy
HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ Harri Vilander, Nixu Oy SISÄLTÖ Tietosuoja-analyysi Tietosuojaa koskeva vaikutustenarviointi (PIA) Kokemuksia matkan varrelta TIETOSUOJA-ANALYYSI Tietosuojan nykytilanteen
LisätiedotLiittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös
Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös Tilinhoitajille Selvitysosapuolille Liikkeeseenlaskijan asiamiehille Sääntöviite: 1.5.9, 5)
LisätiedotHAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI
HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI VIHOLLISET EIVÄT TARVITSE USEITA HAAVOITTUVUUKSIA YKSI RIITTÄÄ 90 MIN välein löytyy uusia haavoittuvuuksia 8000 haavoittuvuutta julkaistaan joka
LisätiedotTIETOTURVAPOLITIIKKA
TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...
LisätiedotTURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA
TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA Turvallinen ohjelmistokehitys seminaari 30.9.2008 1 Turvallisuusvaatimukset ohjelmiston hankinnassa Tehtävä/toiminta liittyvä toiminnot/prosessit
LisätiedotSFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet
SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden
LisätiedotPikaopas. Tietoturva, GDPR ja NIS. Version 3.0
Pikaopas Tietoturva, GDPR ja NIS Version 3.0 GDPR henkilötietojen suojaus EU:n uusi tietosuoja-asetus tuli voimaan 25.5.2018 kaikissa EU-valtioissa. Asetus syrjäyttää ja korvaa aikaisemman henkilötietojen
LisätiedotSisäänrakennettu tietosuoja ja ohjelmistokehitys
Sisäänrakennettu tietosuoja ja ohjelmistokehitys Petri Strandén 8. kesäkuuta, 2018 Agenda Ohjelmistokehitys Ohjelmistokehitys vs. konsultointi Vaatimukset Tietosuoja Tietosuoja ohjelmistokehityksessä kiteytettynä
LisätiedotMuutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen
1 (6) 25.11.2015 Lappeenrannan kaupungin tietoturvapolitiikka 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0
LisätiedotHALLINTOSÄÄNTÖ, TARKASTUSLAUTAKUNNAN OSUUDET. 2 luku Toimielinorganisaatio. 9 Tarkastuslautakunta
HALLINTOSÄÄNTÖ, TARKASTUSLAUTAKUNNAN OSUUDET 2 luku Toimielinorganisaatio 9 Tarkastuslautakunta Tarkastuslautakunnassa on 7 (5?) jäsentä, joista kaupunginvaltuusto valitsee lautakunnan puheenjohtajan ja
LisätiedotIT2015 EKT-ehtojen käyttö
-ehtojen käyttö Erityisehtoja ohjelmistojen toimituksista ketterillä menetelmillä Näiden ohjeiden tavoitteena on helpottaa sopimista ketterien menetelmien käytöstä IT-alalla ja nostaa esiin keskeisiä sopimusta
LisätiedotMiksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja
Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja Vaatimus kudoslaitoksille: Fimean määräys 3/2014 Liite V 6. Laatukatselmus 6.1 Toiminnoille, joille lupaa haetaan, on oltava käytössä auditointijärjestelmä.
LisätiedotARVIOINTILOMAKE / VIHERALAN ERIKOISAMMATTITUTKINTO Määräys 47/011/2015 Viheralan hankintatoiminta
TUTKINNON SUORITTAJAN NIMI SYNTYMÄAIKA ARVIOINTIKOKOUKSEN TIEDOT AIKA PAIKKA ARVIOINTIKRITEERIT Organisaation hankinnan suunnitteleminen HAVAINTOJA TUTKINTOSUORITUKSESTA määrittää hankinnan tavoitteet
LisätiedotSähköisen kilpailuttamisen hyödyt
Sähköisen kilpailuttamisen hyödyt 15.11.2012 PTCS Julkisten hankintojen ajankohtaisfoorumi Sähköisen kilpailuttamisen hyödyt 1 Keskitettynä hallittavampi kokonaisuus Kaikki kilpailutukset, sopimukset ja
LisätiedotSisäisen tarkastuksen ohje
Sisäisen tarkastuksen ohje Kuntayhtymähallitus 17.3.2009 SISÄLLYSLUETTELO 1 TARKOITUS JA PERIAATTEET 3 2 TEHTÄVÄT JA ARVIOINTIPERUSTEET 3 3 ASEMA, TOIMIVALTA JA TIETOJENSAANTIOIKEUS 3 4 AMMATILLINEN OSAAMINEN
LisätiedotTietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa
Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa 2.10.2017 Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Petri Puhakainen, valtioneuvoston tietoturvapäällikkö Tietoturvallisuuden
Lisätiedot[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]
1(5) L I I T E 5B T I E T O S U O J A 1. TARKOITUS Tällä tietosuojaliitteellä ( Tietosuojaliite ) [tilaaja] ( Tilaaja ) rekisterinpitäjänä ja käsittelijänä ja [toimittaja] ( Toimittaja ) henkilötietojen
LisätiedotSuomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari
Suomi.fi - Tietoturvallisuus sovelluskehityksessä VAHTI sähköisen asioinnin tietoturvaseminaari 3.10.2017 YLEISTÄ Suomi.fi-palvelut esuomi.fi Tietoturvallisuus sovelluskehityksessä Yleisiä periaatteita
LisätiedotYhteisöllinen tapa työskennellä
Yhteisöllinen tapa työskennellä Pilvipalvelu mahdollistaa uudenlaisten työtapojen täysipainoisen hyödyntämisen yrityksissä Digitalisoituminen ei ainoastaan muuta tapaamme työskennellä. Se muuttaa meitä
LisätiedotHELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa
HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet
LisätiedotOnnistunut SAP-projekti laadunvarmistuksen keinoin
Onnistunut SAP-projekti laadunvarmistuksen keinoin 07.10.2010 Patrick Qvick Sisällys 1. Qentinel 2. Laadukas ohjelmisto täyttää sille asetetut tarpeet 3. SAP -projektin kriittisiä menestystekijöitä 4.
LisätiedotEläketurvakeskuksen tietosuojapolitiikka
Eläketurvakeskus Tietosuojapolitiikka 1 (5) Eläketurvakeskuksen tietosuojapolitiikka Eläketurvakeskus Tietosuojapolitiikka 2 (5) Sisällysluettelo 1 Yleistä... 3 2 Tietosuojatoimintaa ohjaavat tekijät...
LisätiedotSeuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa
Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa Osallistu keskusteluun, kysy ja kommentoi Twitterissä: #Valtori2015 Tietoturvallisuuden ja
LisätiedotPilvipalveluiden arvioinnin haasteet
Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä
Lisätiedottsoft Tarkastusmenettelyt ja katselmukset Johdanto Vesa Tenhunen 4.2.2004
Tarkastusmenettelyt ja katselmukset tsoft Vesa Tenhunen 4.2.2004 http://cs.joensuu.fi/tsoft/ Johdanto Yksi tärkeimmistä tekijöistä laadukkaiden ohjelmistojen tuottamisessa on puutteiden aikainen havaitseminen
LisätiedotMihin tarkoitukseen henkilötietojani kerätään ja käsitellään?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotVerkkopalkan palvelukuvaus
27.1.2012 1 (6) Verkkopalkan palvelukuvaus 27.1.2012 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Verkkopalkka-palvelun toiminta palkanmaksajalle... 3 3 Verkkopalkan käyttöönotto... 4 4 Verkkopalkka-palvelun
LisätiedotA-moduulissa säädettyjen vaatimusten lisäksi sovelletaan alla olevia säännöksiä. Valmista-
Liite 1 VAATIMUSTENMUKAISUUDEN ARVIOINTIMENETTELYT A-moduuli (valmistuksen sisäinen tarkastus) 1. Tässä moduulissa esitetään menettely, jolla valmistaja tai tämän yhteisöön kuuluvien valtioidenalueelle
LisätiedotHankinnan problematiikka
Antti Kirmanen Hankinnan problematiikka Toimittajan näkökulma Asiakkaan näkökulma www.sulava.com www.facebook.com/sulavaoy 2 1. Ristiriita www.sulava.com www.facebook.com/sulavaoy 3 Asiakas haluaa Onnistuneen
LisätiedotViitearkkitehtuurin suunnitteluprosessi. Ohje. v.0.7
Viitearkkitehtuurin suunnitteluprosessi Ohje v.0.7 Viitearkkitehtuurin suunnitteluprosessi XX.XX.201X 2 (13) Sisällys 1. Johdanto... 3 2. Viitearkkitehtuurin suunnitteluprosessin vaiheet... 3 2.1. Vaihe
LisätiedotMuutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi
Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö Muutos ja tietoturvallisuus -ohjehanke korvaa Vahti-ohjeen 2/1999 ja laajentaa sen
LisätiedotYhteisöllisen toimintatavan jalkauttaminen!
Yhteisöllisen toimintatavan jalkauttaminen! Käyttöönoton vaiheet Yrityksen liiketoimintatavoitteet Yhteisöllisen toimintatavan käyttöalueet Työkalut Hyödyt yritykselle Hyödyt ryhmälle Hyödyt itselle Miten
LisätiedotHelsingin kaupungin kestävien hankintojen edistämiseen liittyvästä konsulttityöstä
TARJOUS: Helsingin kaupungin kestävien hankintojen edistämiseen liittyvästä konsulttityöstä Tilaaja: Helsingin kaupungin Ympäristökeskus Y- tunnus: 2021256-6 PL 500 Helsingin kaupunki 00099 Tarjottavan
LisätiedotSisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17
Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on
LisätiedotLausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.
Lausunto 07.09.2018 VRK/3920/2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan:
LisätiedotARVIOINTILOMAKE / VIHERALAN ERIKOISAMMATTITUTKINTO Määräys 47/011/2015 Viheralan työmaan valvojana toimiminen
TUTKINNON SUORITTAJAN NIMI SYNTYMÄAIKA ARVIOINTIKOKOUKSEN TIEDOT AIKA PAIKKA ARVIOINTIKRITEERIT Työmaan valvonnan suunnitteleminen HAVAINTOJA TUTKINTOSUORITUKSESTA hankkii valvonnan kannalta tarpeelliset
LisätiedotMuistitko soittaa asiakkaallesi?
webcrm Finland 1 webcrm Finland Muistitko soittaa asiakkaallesi? Riippumatta siitä, oletko myyntipäällikkö, markkinoija vai työskenteletkö HR tehtävissä, voit käyttää CRM ratkaisua erilaisiin tarpeisiin.
LisätiedotSastamalan kaupungin uusi hallintosääntö
1 Sastamalan kaupungin uusi hallintosääntö 2 luku Toimielinorganisaatio 9 Tarkastuslautakunta Tarkastuslautakunnassa on seitsemän jäsentä, joista valtuusto valitsee lautakunnan puheenjohtajan ja varapuheenjohtajan.
LisätiedotARVIOINTILOMAKE / VIHERALAN ERIKOISAMMATTITUTKINTO Määräys 47/011/2015 Viheralan tarjoustoiminta
TUTKINNON SUORITTAJAN NIMI SYNTYMÄAIKA ARVIOINTIKOKOUKSEN TIEDOT AIKA PAIKKA ARVIOINTIKRITEERIT Tarjouspyyntöjen hankkiminen HAVAINTOJA TUTKINTOSUORITUKSESTA käyttää tarjouspyyntöjen hankinnassa viheralan
LisätiedotIT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA LUONNOS
20.4.2015 IT2015 EKT ERITYISEHTOJA OHJELMISTOJEN TOIMITUKSISTA KETTERIEN MENETELMIEN PROJEKTEILLA 1 1.1 SOVELTAMINEN Näitä erityisehtoja sovelletaan ohjelmistojen tai niiden osien toimituksiin ketterien
LisätiedotTIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103
TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI Hyväksytty:, asiakohta 28, asiakohta 103 Sisällysluettelo 1. Periaatteet... 3 1.1 Henkilötietojen käsittelyn lainmukaisuus... 3 2. Tietosuojan vastuut ja organisointi...
LisätiedotTietoturvapolitiikka
Valtiokonttori Ohje 1 (6) Tietoturvapolitiikka Valtion IT -palvelukeskus Valtiokonttori Ohje 2 (6) Sisällysluettelo 1 Johdanto... 3 2 Tietoturvallisuuden kattavuus ja rajaus Valtion IT-palvelukeskuksessa...
LisätiedotLokitietojen käsittelystä
Lokitietojen käsittelystä ylitarkastaja Sari Kajantie/KRP Esityksen lähtökohdista Tavoitteena lisätä ymmärrystä kriteereistä, joilla lokien käsittelytavat tulisi määritellä jotta pystytte soveltamaan käsittelytapoja
LisätiedotEspoon kaupunki Tietoturvapolitiikka
Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016
LisätiedotNolla tapaturmaa 2020. Kulmakivet 2016-17(luonnos) Tilannekatsaus 24.2.2015. Etera 24.2.2015 Ahti Niskanen
Nolla tapaturmaa 2020 Kulmakivet 2016-17(luonnos) Tilannekatsaus 24.2.2015 Etera 24.2.2015 Ahti Niskanen TAVOITTEENA NOLLA TAPATURMAA RAKENNUSTEOLLISUUDESSA 2020 Rakennusteollisuus RT ry:n hallitus asetti
LisätiedotMihin tarkoitukseen henkilötietojani kerätään ja käsitellään?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotFederointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa 17.1.2012
Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa 17.1.2012 Joonatan Henriksson, Nixu Oy joonatan.henriksson@nixu.com 050 342 3472 17.1.2012 Nixu 2012 Agenda Federoinnin hyödyt
LisätiedotTIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se, että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotAsiantuntijapalvelu ympäristöjärjestelmien rakentamiseksi Kaustisen seutukunnan pk - yrityksissä (Kaustinen, Veteli, Halsua, Lestijärvi, Perho)
1 Lestijärven kunta / Kaustisen seutukunta Lestintie 39 69440 LESTIJÄRVI TARJOUSPYYNTÖ Asiantuntijapalvelu ympäristöjärjestelmien rakentamiseksi Kaustisen seutukunnan pk - yrityksissä (Kaustinen, Veteli,
LisätiedotMiten löydän Sen Oikean? 22.11.2012 Senaattoritilaisuus Liisa Paasiala, Senior Consultant
Miten löydän Sen Oikean? 22.11.2012 Senaattoritilaisuus Liisa Paasiala, Senior Consultant On mahdollista löytää Se Oikea! Luotanko sattumaan? Onnistuminen on aloitettava heti Onnistumisen kaava on 4 x
LisätiedotAuditoinnit ja sertifioinnit
Auditoinnit ja sertifioinnit Tietojärjestelmien ja tietoliikennejärjestelmien vaatimuksienmukaisuuden arvioinnit ja hyväksynnät Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelmien tietoturvallisuuden
LisätiedotPCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com. 15.1.2014 Nixu 2014 1
PCI DSS 3.0 Merkittävimmät muutokset Seppo Heikkinen, QSA seppo.heikkinen@nixu.com 15.1.2014 Nixu 2014 1 Yleistä PCI DSS standardin kehittämisestä PCI SSC (Payment Card Industry Security Standards Council)
LisätiedotSähköi sen pal l tietototurvatason arviointi
Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein
Lisätiedot2 (5) Tarkastussääntö Hyväksytty: yhtymäkokous xx.xx.xxxx xx 17.9.2014. 2.2 Tilintarkastajan tehtävät
2 (5) 2.2 Tilintarkastajan tehtävät 2.3 Tilintarkastuskertomus Kuntalain 73 75 säädetään tilintarkastajan tehtävistä. Tilintarkastajan on tarkastettava hyvän tilintarkastustavan mukaisesti kunkin tilikauden
LisätiedotTOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI
TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI SELONTEKO EU:N TIETOSUOJA-ASETUS GDPR:N VAATIMUSTEN TOTEUTTAMISTAVOISTA ITPOINT OY:SSA ITpoint Oy toimittaa asiakkaansa
LisätiedotVerkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö
Verkkorikollisuus tietoturvauhkana Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuuden erityispiirteet Verkkorikollisuus on ammattimaista ja tähtää
LisätiedotMÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA
lukien toistaiseksi 1 (5) Sijoituspalveluyrityksille MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA Rahoitustarkastus antaa sijoituspalveluyrityksistä annetun lain
LisätiedotConsultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja
Consultor Finland Oy Paasitorni / Markus Andersson Toimitusjohtaja Consultor Finland Oy Consultor (lat. kysyy neuvoja, on neuvoja, neuvonantaja) Consultor Finland Oy on (1) suomalainen edelläkävijä (2)
LisätiedotLAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE
LAADUNVALVONTAJÄRJESTELMÄ- JA TOIMEKSIANTOLOMAKE Pyydämme palauttamaan täytetyn lomakkeen osoitteeseen laatu@chamber.fi. Tarkastettava tilintarkastaja Laaduntarkastaja Laadunvalvontajärjestelmän kartoitus
LisätiedotSuorin reitti Virtu-palveluihin
Suorin reitti Virtu-palveluihin Haka- ja Virtu-seminaari 9.2.2011 Hannu Kasanen, Secproof Finland Secproof Finland Noin 15 hengen konsultointi- ja asiantuntijapalveluita tarjoava yritys Perustettu vuonna
LisätiedotUlkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö
Ulkoistamisen hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö Muutos ja tietoturvallisuus -ohje Korvaa Vahti-ohjeen 2/1999 ja laajentaa sen tarkastelunäkökulmaa Työryhmänä jaosto, konsulttina WM-data
LisätiedotMihin tarkoitukseen henkilötietojani kerätään ja käsitellään?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se, että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotADE Oy Hämeen valtatie 144 20540 TURKU. Tuotekonfigurointi. ADE Oy Ly Tunnus: 1626957-3
Tuotekonfigurointi ADE Oy lyhyesti Asiakkaiden tarpeisiin suunnattua innovatiivista ja toimivaa ohjelmisto- ja 3d animaatiopalvelua. Ade Oy on toteuttanut vuodesta 2000 alkaen haastavaa interaktiivista
LisätiedotOpetushallitus pyytää tarjoustanne tämän tarjouspyynnön ja sen liitteiden mukaisesti.
TEKNINEN IT-KONSULTOINTI Sivu 1 Oppijan palvelukokonaisuuden tietoturvan testauspalvelut 1. PERUSTIEDOT Opetushallitus pyytää tarjoustanne tämän tarjouspyynnön ja sen liitteiden mukaisesti. Tämä tarjouspyyntö
LisätiedotIoT-järjestelmän ja ulkovalaistuksen ohjauksen hankinta -markkinavuoropuhelutilaisuus
IoT-järjestelmän ja ulkovalaistuksen ohjauksen hankinta -markkinavuoropuhelutilaisuus Teknologia-arkkitehtuuri ja rajapinnat/integraatiot 21.3.2019 Sisältö Alustojen asemoituminen ja pilvivalmius Arkkitehtuuriperiaatteet
LisätiedotMihin tarkoitukseen henkilötietojani kerätään ja käsitellään?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotISÄNNÖINTIPALVELUA OSTAMASSA TILAAJAN NÄKÖKULMA
ISÄNNÖINTIPALVELUA OSTAMASSA TILAAJAN NÄKÖKULMA Kiinteistö 2013 Jenni Hupli Kiinteistöliiton päälakimies, VT Ydinkysymysten äärellä Sitä saa, mitä tilaa Vastaako sitä, mitä on tavoiteltu/tarvitaan? Ratkaiseeko
LisätiedotMihin tarkoitukseen henkilötietojani kerätään ja käsitellään?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano
Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta 11.9.2018 Pauli Kartano Lausuntokierros Linjaukset ja lausunnot nähtävillä lausuntopalvelussa Julkisen hallinnon linjaukset tiedon sijainnista
LisätiedotOsallistu julkisiin kilpailutuksiin helposti ja turvallisesti
Osallistu julkisiin kilpailutuksiin helposti ja turvallisesti Sisältö Mikä on Tarjouspalvelu-toimittajaportaali? Mitä hyötyä ja etuja toimittajalle? Miten Tarjouspalvelua käytetään? Tarjouspalveluun pääseminen
LisätiedotKuinka IdM-hanke pidetään raiteillaan
Kuinka IdM-hanke pidetään raiteillaan Projektipäällikön kokemuksia 4.10.2011 IdM-projektitkin pitää suunnitella Kaiken perustana on riittävä ymmärrys projektin sisällöstä, laajuudesta ja vaaditusta osaamisesta
LisätiedotMihin tarkoitukseen henkilötietojani kerätään ja käsitellään?
TIETOSUOJASELOSTE Yleistä Jotta voimme palvella sinua parhaamme mukaan, edellyttää se että keräämme ja käsittelemme joitakin sinua koskevia tietoja. Arvostamme kuitenkin yksityisyyttäsi ja olemme sitoutuneet
LisätiedotLaadunvalvonta tarkastuksessa ja arvioinnissa. Tilintarkastuksen ja arvioinnin symposium 2019 Maria Koivusalo
Laadunvalvonta tarkastuksessa ja arvioinnissa Tilintarkastuksen ja arvioinnin symposium 2019 Maria Koivusalo Sisältö 1) Mitä tilintarkastuksen laatu tarkoittaa valvonnassa 2) Laaduntarkastuksen havaintoja
LisätiedotAvoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4
Avoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4 Tämän esityksen sisältö tausta avoimet toimittajakohtaiset rajapinnat (toimittajan hallitsemat rajapinnat) avoimet yhteiset rajapinnat (tilaajan
LisätiedotARVIOINTILOMAKE / VIHERALAN ERIKOISAMMATTITUTKINTO Määräys 47/011/2015 Omaisuuden hallinta viheralalla
TUTKINNON SUORITTAJAN NIMI SYNTYMÄAIKA ARVIOINTIKOKOUKSEN TIEDOT AIKA PAIKKA ARVIOINTIKRITEERIT Viheralan omaisuuden hallinnan suunnitteleminen HAVAINTOJA TUTKINTOSUORITUKSESTA määrittää omaisuuden hallinnan
LisätiedotAlkuraportti. LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS CT10A4000 - Kandidaatintyö ja seminaari
LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS CT10A4000 - Kandidaatintyö ja seminaari Alkuraportti Avoimen lähdekoodin käyttö WWW-sovelluspalvelujen toteutuksessa Lappeenranta, 30.3.2008,
LisätiedotPALVELUKUVAUS järjestelmän nimi versio x.x
JHS 171 ICT-palvelujen kehittäminen: Kehittämiskohteiden tunnistaminen Liite 4 Palvelukuvaus -pohja Versio: 1.0 Julkaistu: 11.9.2009 Voimassaoloaika: Toistaiseksi PALVELUKUVAUS järjestelmän nimi versio
LisätiedotRAKSAKYMPPI käytännöksi
RAKSAKYMPPI käytännöksi Perusteet Käyttö Hyödyt Kokemuksia Tarja Mäkelä VTT RATUKE-seminaari 20.9.2007 RAKSAKYMPPI -uutta ajattelua työturvallisuuteen Lisätietoja: Tarja Mäkelä VTT Puh. 020 722 3308, tarja.makela@vtt.fi
LisätiedotLiiketalouden perustutkinto, merkonomi 2015. HUIPPUOSAAJANA TOIMIMINEN HUTO 15 osp
Liiketalouden perustutkinto, merkonomi 2015 HUIPPUOSAAJANA TOIMIMINEN HUTO 15 osp Määräyksen diaarinumero 59/011/2014 Huippuosaajana toimiminen, 15 osp (vain ammatillisessa peruskoulutuksessa) Ammattitaitovaatimukset
LisätiedotEspoon projekti- ja ohjelmajohtamisen malli EsPro
Espoon projekti- ja ohjelmajohtamisen malli EsPro EU- ja kv-verkoston tapaaminen Kuntatalo 2.10.2013 Strategiajohtaja Jorma Valve, Espoon kaupunki Mikä on projektimalli? Projektimalli on projektimuotoisen
LisätiedotTehtävä, visio, arvot ja strategiset tavoitteet
Tehtävä, visio, arvot ja strategiset tavoitteet Tehtävä Euroopan tilintarkastustuomioistuin on Euroopan unionin toimielin, joka perussopimuksen mukaan perustettiin huolehtimaan unionin varojen tarkastamisesta.
LisätiedotSOPIMUS TAVARAN X HANKINNASTA
LIITE 5A SOPIMUS SOPIMUS TAVARAN X HANKINNASTA 1. OSAPUOLET JA YHTEYSHENKILÖT Tilaaja: Jyväskylän yliopisto Pl 35 40014 Jyväskylän yliopisto (jäljempänä Tilaaja ) Tilaajan yhteyshenkilö sopimusasioissa:
LisätiedotLAATU, LAADUNVARMISTUS JA f RISKIEN HALLINTA JOUNI HUOTARI ESA SALMIKANGAS PÄIVITETTY 18.1.2011
LAATU, LAADUNVARMISTUS JA f RISKIEN HALLINTA JOUNI HUOTARI ESA SALMIKANGAS PÄIVITETTY 18.1.2011 TEHTÄVÄ Määrittele laatu Mitä riskien hallintaan kuuluu? Jouni Huotari & Esa Salmikangas 2 LAATU JA LAADUNVARMISTUS
LisätiedotVarmista asiakastyytyväisyytesi. ValueFramelta tilitoimistojen oma toiminnanohjaus- ja asiakaspalvelujärjestelmä pilvipalveluna. Suuntaa menestykseen
Varmista asiakastyytyväisyytesi ValueFramelta tilitoimistojen oma toiminnanohjaus- ja asiakaspalvelujärjestelmä pilvipalveluna. Suuntaa menestykseen Haluatko kehittää toimintaasi? Me pystymme auttamaan.
LisätiedotRAJAKYLÄN KOULUI, 1-vaihe, PERUSKORJAUS AV-HANKINTAAN LIITTYVIÄ MUITA VAATIMUKSIA
OULUN KAUPUNKI 1 (5) RAJAKYLÄN KOULUI, 1-vaihe, PERUSKORJAUS AV-HANKINTAAN LIITTYVIÄ MUITA VAATIMUKSIA Yleistä Av-laitetoimittaja sitoutuu suorittamaan sovittua urakkasummaa vastaan tämän asiakirjan, tarjouspyynnön
LisätiedotTietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta
Tietosuojariskienhallinnan palvelutuotteet Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta Kyberturvallisuustilanne 2017 Vuonna 2016 realisoituneet
LisätiedotJulkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto
Lausunto 04.09.2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Seuraavat kommentit linjauksiin: 2. Riippuen palveluntarjoajasta
LisätiedotYleiset toimitusehdot Asiantuntijapalvelut
Asiantuntijapalvelut SISÄLLYSLUETTELO 1 YLEISTÄ... 2 1.1 Soveltaminen... 2 1.2 Työmenetelmät... 2 2 TOIMITTAJAN VELVOLLISUUDET... 2 2.1 Yleistä... 2 2.2 Tiedottaminen palvelun edistymisestä... 2 3 TILAAJAN
LisätiedotUusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro
Uusi tietosuojaasetus käytännössä MPY Palvelut Oyj Toni Sivupuro Sisältö EU tietosuoja-asetus Henkilörekisteri Asetuksen tavoitteet Yksilön oikeudet Yksilön oikeudet käytännössä Suostumus henkilötietojen
LisätiedotVaivattomasti parasta tietoturvaa
Vaivattomasti parasta tietoturvaa BUSINESS SUITE Tietoturvan valinta voi olla myös helppoa Yrityksen tietoturvan valinta voi olla vaikeaa loputtomien vaihtoehtojen suossa tarpomista. F-Secure Business
LisätiedotRiippumattomat arviointilaitokset
Riippumattomat arviointilaitokset CSM Riskienhallinta -asetuksen mukainen riippumaton arviointi Komission asetus (352/2009/EY) yhteisestä turvallisuusmenetelmästä, CSM riskienhallinta-asetus, vaatii rautatiejärjestelmässä
LisätiedotDigital by Default varautumisessa huomioitavaa
Digital by Default varautumisessa huomioitavaa VAHTI Sähköisen asioinnin tietoturvaseminaari 3.10.2017 osana VAHTI Digitaalisen turvallisuuden teemaviikkoa 1 Agenda Palvelun riskienhallinta ja riippuvuudet
Lisätiedot1 YLEISTÄ... 3 3 KÄYTTÖOHJEEN HYVÄKSYTTÄMINEN... 4 4 KÄYTTÖOHJEEN JAKELU... 4 5 KÄYTTÖOHJEEN ARKISTOIMINEN... 5
LIIKENNEVIRASTO OHJE 2 (6) Sisällysluettelo 1 YLEISTÄ... 3 2 UUDEN KÄYTTÖOHJEEN LUOMINEN TAI VANHAN PÄIVITTÄMINEN... 3 2.1 Vaikutus muihin käyttöohjeisiin... 3 2.1.1 Vanhojen dokumenttien poistaminen...
Lisätiedot