Virtu tietoturvallisuus. Virtu seminaari

Transkriptio

1 Virtu tietoturvallisuus Virtu seminaari

2 Sisältö Virtu edistää tietoturvallisuutta Tietoturvallisuus Valtorin palveluissa Tietoturvavaatimukset luottamusverkostoon liityttäessä 2

3 Kertakirjautuminen edistää tietoturvallisuutta Kertakirjautuminen (SSO) vähentää lukuisten erillisten käyttäjätunnusten hallintatarvetta lukuisissa eri sovelluksissa Myös tietoturvan hallinta käyttäjän tunnistamisen ja pääsynhallinnan osalta helpottuu Säästää aikaa, vaivaa ja rahaa Riskit haamutunnusten osalta pienenevät Helpottaa ihmisten pääsy palveluihin kirjautumis- ja käyttäjätunnusten lukkiutumisongelmat vähenevät huomattavasti Autentikointi tapahtuu organisaation sisällä, salasana ei lähde luottamusverkostoon (oman palomuurin ulkopuolelle). Helpottaa auditointeja ja vaatimustenmukaisuuden ylläpitoa Esimerkiksi keskitetty audit trail/jäljitettävyys, raportointi 3

4 Tietoturvallisuus Valtorin palveluissa 4

5 Palveluiden tietoturvan hallinnan lähtökohdat Tietoturvan hallinta, ja siihen liittyvät tehtävät, on viety osaksi palvelunhallintaa. Toimintamallit, ohjeet, työkalut ja tuki tuodaan palveluille suunnitellusti tietoturvallisuuden hallintajärjestelmän avulla. Velvoitteita tietoturvallisuuden hallinnalle asettavat mm: Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa /681 Muuta lait ja asetukset (mm. JulkL ja HetiL) VIPin tietoturvapolitiikka 5

6 Vaatimusmäärityksistä tuotantoon, eli miten tietoturvallisuus toteutetaan palveluissa? Hankintavaihe Tietoturvavaatimukset hankkeen suunnittelussa, kilpailutuksessa ja tuotantoon hyväksymisessä Valtori Tietoturvallisuus hankkeissa Tuotantovaihe jatkuva palvelu Tietoturvallisuuden vuosikello Toimenpidelista Valtori Tietoturvallisuus jatkuvissa palveluissa 6

7 Hankintavaihe 7

8 Suunnittelun ja kilpailutuksen tietoturva-vaatimukset 8

9 Vaatimusalueet 1. Tietoturvatasovaatimukset (TTA 681/2010, VAHTI 2/2010) ST IV / III / II tasojen tietoaineiston käsittelykyky 2. ICT-varautumisen vaatimukset (Vahti 2/2012) Perustaso Korotettu taso Korkea taso 9

10 Vaatimusalueet 3. Yleiset vaatimukset Palvelun tuottamiseen käytettävän palvelin- ja tietoliikenneympäristön, sekä käyttöpalvelutoimittajaa koskevat yleiset tietoturvavaatimukset Palvelun tietoturvallisuuden vuosikelloon sisältyvät vaatimukset Perustuvat yleisiin best practice malleihin 4. Sovelluskehityksen vaatimukset Vaatimukset palvelussa tai palvelulle tuotettavalle sovelluskoodille ja sovelluskehitysprosessille Lähtökohtana VAHTI 1/2013 (Sovelluskehityksen tietoturvaohje), myös SANS/CWE Top25 ja OWASP Top Ten 5. Hankittavan kohteen erityisvaatimukset Esim. riskianalyysin pohjalta tuotettavat, juuri tätä hankintaa koskevat tietoturvavaatimukset 10 Valtori - Etunimi Sukunimi

11 Jatkuva palvelu 11

12 Toimintamalli 1. Järjestelmän ja ympäristön perustiedot ja kuvaukset - Järjestelmäkuvaus, rekisteriselosteet 2. ICT-riskien arviointiprosessi - Arvioidaan vuosittain, kehitys- ja korjaustoimenpiteiden etenemisen seuranta 2-4 kertaa vuodessa 3. Toipumissuunnitelma(t) - Palvelu- tai järjestelmäkohtainen yksityiskohtainen suunnitelma teknisistä häiriöistä toipumiseen - Häiriöviestinnällä keskeinen rooli 12

13 Toimintamalli 5. Palvelun auditointisuunnitelma sekä suoritettavat säännönmukaiset auditoinnit 6. Sopimusten katselmointi tietoturvallisuuden osalta 7. Tietoturvallisuuden liittäminen toimittajayhteistyöhön Säännöllisissä toimittajatapaamisessa tietoturva-asiat ovat asialistalla (poikkeamat, raportit, kehitys) 8. Tietoturvapoikkeamien hallinta ja raportointi Häiriötilanteiden hallinta, eli vastuut, yhteyskanavat ja eskalointi tietoturvapoikkeamien tai niiden epäilyjen ilmetessä 9. Tietoturvallisuuden vastuunjakotaulukko Kuvaus tietoturvallisuuden vastuista sidosryhmittäin ja rooleittain 10. Palvelun tietoturvallisuuden vuosikello ja toimenpidelista 13

14 Vuosikello Sopimuskatselmointi katselmointi ja päivitys Vuosikellon päivitys seuraavalle vuodelle Toimenpiteiden seuranta ja raportointi Palvelun riskien arviointi Palvelun auditointisuunnitelman katselmointi ja päivitys Toipumissuunnitelman katselmointi ja päivitys Toimenpiteiden seuranta ja raportointi Huhtikesäkuu Heinäsyyskuu Lokajoulukuu Tammimaaliskuu Tietoturvallisuuden vastuunjakotaulukko katselmointi ja päivitys Palvelun perustiedot ja kuvaukset katselmointi ja päivitys Toimenpiteiden seuranta ja raportointi Tietoturvapoikkeamien hallinta ja raportointi(häiriöviestintäsuunnitelm an katselmointi ja päivitys) Toimenpiteiden seuranta ja raportointi 14

15 Palvelun toimenpidelista Riskianalyysit Auditoinnit Vuosikello Kehitysideat 15

16 Tietoturvavaatimukset luottamusverkostoon liityttäessä Virtuun liittyvä organisaatio järjestää oman IdP-ympäristön tietoturvaauditoinnin VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta ohjeen mukaista perustasoa vastaan. Liittyvä organisaatio tilaa auditoinnin Valtorilta. Auditointiin sisältyy organisaation arviointi sekä IT-arviointi. Auditoinnissa havaitut vakavat (kriittiset) poikkeamat on hyväksytysti korjattu. Asiakkaan on laadittava toimenpidesuunnitelma muiden kuin vakavien (kriittisten) poikkeamien korjaamiseksi. Muussa yhteydessä suoritettu tietoturva-auditointi kelpuutetaan myös ja sitä ei siis Virtuun liittymistä varten tarvitse suorittaa uudestaan. 16

17 Yhteystiedot Pekka Ristimäki Johtava asiantuntija Puh VIP Tietoturvapalvelut Asiantuntija- ja konsultointipalvelut Tietoturvapäällikköpalvelu Koulutuspalvelut Auditointi- ja tarkastuspalvelut 17