Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Transkriptio

1 Tietoturvallisuuden standardisointiverkosto - Kokous 1/ Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

2 Esitykseni sisältö 1) Valtiovarainministeriön rooli 2) Tavoite ja mistä tässä kokonaisuudessa on kyse? 3) Miten uusi VAHTI toimii ja edistää digitaalista turvallisuuta? 4) VAHTI 100 nykytila ja tulevaisuus 2

3 @kimmo Kimmo Rousku VAHTI-pääsihteeri Puh Kutsuthan minut verkostoosi? ATK-ICT-alalla v 1985 saakka ~nörtti Valtionhallinnossa v Tietohallintotausta, joka muuttunut viimeisen ~10 v aikana tietoturvakyberturvallisuus riskienhallinnaksi Olen kirjoittanut v noin ~20 teosta TiVi-Turvasatama-blogi v 2012 alkaen 3

4 Valtiovarainministeriön rooli Valtiovarainministeriön tehtävänä on (1) julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja (2) valtionhallinnon tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin säädöksiin. Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011), valmiuslaki (1552/2011), valtioneuvoston ohjesääntö (262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003). 4

5 Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä - VAHTI Valtiovarainministeriö on asettanut VAHTIn toimimaan julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. VAHTIn asema on kirjattu voimassa oleviin valtioneuvoston periaatepäätöksiin Suomen kyberturvallisuusstrategiasta 2013 ja valtionhallinnon tietoturvallisuuden kehittämisestä Lisäksi VAHTIlla on keskeinen rooli kyberturvallisuusstrategian toimeenpano-ohjelman v toteuttamisessa. 5

6 Mikä meidän tavoite on?

7 Vähentää tällaisten uutisten määrää tai laatua 7

8 Mistä tässä kokonaisuudessa on kyse?

9 Huomioitava aina! Tietoturvallisuus Tietoturvallisuus = tiedon saatavuus + eheys + luottamuksellisuus ja mikäli mukana henkilötietoja, huomioitava tietosuoja Tietoturvallisuus on tietosuojan mahdollistaja Tietosuoja Luottamuksellisuus Kimmo Rousku Saatavuus Eheys 9

10 Kyberturvallisuus Tietoturvallisuus näyttäytyy hyvin vahvasti tietojen, osin tietojärjestelmien näkökulmasta Kyberturvallisuus tarkoittaa laaja-alaisesti digitaalisen toimintaympäristön (virtuaalinen bitti / ICT-maailma mutta myös fyysinen maailma) toiminnan turvaamista, johon kuuluu myös datan ja informaation käsittelyyn liittyvät fyysiset rakenteet (konesalit, sähkönjakelu, henkilöstö jne). Kyberturvallisuutta on myös kyky sietää näitä uhkia (resilienssi). Kyberturvallisuuteen voidaan vaikuttaa useilla erilaisilla keinoilla, tietoturvauhan lisäksi myös hybridivaikuttamisen keinoin 10

11 - informaatiovaikuttaminen (muista myös ptrollaus ) Ja muita keinoja ovat esimerkiksi psykologiset, poliittiset, taloudelliset, tekniset, humanitaariset ja sotilaalliset keinot 11

12 12

13 13

14 Toimintaan kohdistuvat tieto- ja kyberturvauhat Toiminnan johtaminen Riskienhallinta Varautuminen häiriötilanteisiin Tekninen turvallisuus Tietoturvallisuus Kaiken toiminnan ja tiedon saatavuuden ja eheyden turvaaminen Henkilötiedot tietosuoja Salassa pidettävä tieto luottamuksellisuus Hallinnollinen turvallisuus Henkilöstö Suojattava tieto kohde toiminta Toiminnan mittaaminen ja vaatimusten hallinta sekä arviointi Toimintaan kohdistuvat vaatimukset 14

15 Mistä tässä kaikessa on kyse? Vaatimustenmukaisuus 15

16 Ja päätavoite Tuottamamme palvelut ovat turvallisia ja niihin voidaan luottaa. #luottamus #menestys Kehitämme turvallisuutta hyödyntäen tarkoituksenmukaisesti uutta teknologiaa Painoalueet: Johtaminen ja riskienhallinta henkilöstön koulutus teknisen turvallisuuden kehittäminen, esimerkiksi havainnointikyky ja reagointi 16

17 Miten uusi VAHTI toimii ja edistää digitaalista turvallisuuta

18 Kyber- ja tietoturvallisuuden kehittäminen, ohjaus ja yhteistyö Valtionhallinnon digitaalisen turvallisuuden johtaminen Turvallisuuskomitea JUHTA TIETOKEKO Valmiuspäällikkökokous NSA-yhteistyöryhmä Valtioneuvoston ja hallinnonalojen tietoturvaryhmät Operatiiviset toimijat (mm. ICT-palvelu- ja kyberturvallisuuskeskukset) 18

19 Yhteistyön laajentaminen VAHTIn uudet peruspilarit 1. Johtaminen ja riskienhallinta JORI Tietoturvallisuuden hallintajärjestelmä sekä riskienhallinta 2. Toiminnan jatkuvuuden hallinta TOJA Ennakoiva suunnittelu ja varautuminen normaaliolojen häiriöihin ja poikkeusoloihin, tarvittava harjoittelu ja testaaminen 3. Turvallisuus kehittämisessä TUKE Uusien asioiden toteuttamisessa (hankkeet, projektit, muu toiminta) edellytettävät vaatimukset 4. Turvallisuuden ylläpito TUTO Operatiivisen toiminnan ylläpito 5. Seuranta ja arviointi SETI Vaatimustenmukaisuus, tavoitteiden asettaminen ja saavuttamisen arviointi, mittaaminen 19

20 VAHTIn toimintasuunnitelma v Keskeiset tehtävät v 2017: 2.1 Tietoturvasäädöstön uudistaminen ja toimeenpano => siirtyminen v JUHTA-yhteistyö Tietosuojakoulutukset Osoitusvelvollisuuden toteuttamisen yhteishanke 20

21 VAHTI 100

22 Vaatimustenmukaisuus vuonna nykytila Tietoturvallisuusasetus 681/ Tietoturvallisuuden perustaso 5 ja siellä olevat 10 kohtaa VAHTI-ohje 2/2010 ja sen liite 5 antavat ohjeet perus- ja korotetun tietoturvatason osalta Vastaavasti toiminnan jatkuvuutta voidaan kehittää sekä ICTvarautumisen ohjeistuksen (2/2012) sekä Toiminnan jatkuvuuden hallinnan (2/2016) avulla Kaikessa toiminnassa tarvitaan riskienhallintaa uusi ohje ja prosessi sekä työkalu saatavilla VM 22/2017 Ohje riskienhallintaan 22

23 Vaatimustenmukaisuus tiivistys - vuonna 2019=> Tiedonhallintalain myötä korvautuu tietoturvallisuusasetus ja ennen kaikkea kansallisen salassa pidettävän tietoaineiston luokittelu Suojaustasoluokittelu poistuu, mutta turvallisuusluokitellun tiedon osalta jäävät (esimerkiksi kansallinen turvallisuus) ST IV Käyttö rajoitettu ST I Erittäin salainen Samoin tietoturvatasot poistuvat ja tilalle tulee tietoturvallisuuden vähimmäistaso, joka edellyttää jatkossa paremmin myös saatavuuden ja eheyden varmistamista kaiken toiminnan osalta ja luottamuksellisuuden varmistamista kun kyse on salassa pidettävistä tiedoista Toteutamme ja rakennamme tätä varten kokonaan uudet työnimellä VAHTI 100- kulkevan vaatimuskehikon organisaatio tietojärjestelmä hankinta vaatimukset sekä näiden auditoinnin & tarkastuksen mahdollistavat auditointikriteerit mallia mahdollista pilotoida kun vaatimusluonnokset valmistuvat alustavasti kesän aikana lainsäädäntötyön etenemisen varmistuessa 23

24 Miten tähän on päädytty? Vuonna 2015 arkistolain valmistelutyöryhmä VM:ssä tehtiin kevät selvitys tietoturvallisuusasetus nykytila ja tavoite Tiedonhallintalain taustalla työryhmätyö ja nyt asetettu valmistelutiimi ja ohjausryhmä lainsäädännön viimeistelemiseksi 24

25 Taustaa Arkistolain jatkotyöryhmän muistio Ehdotus laiksi tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa, 2015:12 toteaa: Ehdotettuun yleislakiin otetut tietoturvallisuutta koskevat säännökset vastaavat pääosin nykyisin asetuksella säädettyjä, minkä vuoksi niiden kehittämistarpeet ja - mahdollisuudet on arvioitava jatkovalmistelun aikana. JulkICT asetti jatkovalmistelun tueksi hallinnonalojen nimeämistä edustajista koostuvan ohjausryhmän Puheenjohtaja T Kuusisto, sihteeri S Seppänen, jäseninä K Rousku, E Lantto, R Paananen, K Janhunen Jäsenet: Valtioneuvoston kanslia, ulkoasiainministeriö, oikeusministeriö, sisäministeriö, puolustusministeriö, opetus- ja kulttuuriministeriö, maa- ja metsätalousministeriö, liikenneja viestintäministeriö, sosiaali- ja terveysministeriö, työ- ja elinkeinoministeriö, Turvallisuuskomitean sihteeristö, Eduskunta, Elinkeinoelämän keskusliitto, Espoon kaupunki, Huoltovarmuuskeskus, Kuntaliitto, KELA, Puolustusvoimat, Suomen Pankki, Suojelupoliisi, Valtori, Verohallinto, Viestintävirasto, Väestörekisterikeskus HAUS TSV-koulutusohjelma 25

26 Asetetut tavoitteet Kuvata tietoturvallisuuden toteuttamisen ja tietoturva-asetuksen soveltamisen nykytila valtionhallinnossa Kuvata tietoturva-asetuksen soveltamisen nykytilan haasteet ja kehittämistarpeet julkisessa hallinnossa siten että se palvelee kokonaisturvallisuutta ja koko yhteiskuntaa Kuvata vertailu tietoturvasäännöstöön EU-maissa yhteistyössä ViVin ja NSAn kanssa Hankkia tavoitetilan pohjaksi tietoturvatutkimustietoa Suomesta Kuvata tietoturvasäännöstön kehittämisen tavoitetila Suomessa mukaan lukien suhde kybertoimintaympäristön turvallisuuteen Kuvata tavoitetilan taloudellinen vaikuttavuus HAUS TSV-koulutusohjelma 26

27 Tehtävien tilanne Hallinnonalakohtaiset haastattelut, 31 kpl, tehty Tietoturvallisuustutkimustieto kerätty Verkkokysely tehty: & Kuulemistilaisuuksia/ tapaamisia järjestetty Kuulemistilaisuudet : ICT-toimittajille, 8.9. kuntatoimijoille Tapaamisia: 7.11 Tietosuojavaltuutettu, OM, yritysten tietoturvapäälliköt Vertaileva selvitys muiden EU-maiden tietoturvallisuuslainsäädännöstä suoritettu Iso-Britannia, Ruotsi, Viro, Saksa ja Hollanti Nykytilaraportti, luonnosversion valmistui alkuvuosi 2017 Tietoturvallisuuden toteuttamisen ja tietoturva-säännöstön nykytilan, haasteiden, kehittämistarpeiden ja kansainvälisen vertailun kuvaus HAUS TSV-koulutusohjelma 27

28 Muutokset tietoturvalainsäädäntöön

29 Sovellusala Aikaisempi tietoturvallisuussääntely (Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 681/2010) on koskenut ainoastaan valtionhallintoa. Tietoturvasäädösten sisällyttäminen tiedonhallintalakiin laajentaa niiden soveltamisalan koko julkishallintoon, myös kuntiin. Nykytilaselvityksessä havaittiin puutteita tietoturvallisuusasetuksen ohjeistamisessa ja koulutuksessa, mikä on johtanut epäyhtenäisiin käytäntöihin. Tämän vuoksi lainsäädännön uudistusten lisäksi täytyy kouluttaa ja ohjeistaa myös ennallaan säilyvän sääntelyn vaatimukset riittävästi. Säädösten ulottaminen koko julkishallintoon korostaa yhtenäisen tulkinnan merkitystä. 29

30 Riskienhallinta Säädöksistä puretaan kiinteitä kontrolleja sisältänyt tietoturvallisuuden tasomalli, mikä korostaa riskien arvioimisen, hallinnan ja jäännösriskien hyväksymisvastuun merkitystä Uudet säännökset nojaavat vahvasti riskienhallintaan, ja toimiva johto velvoitetaan vastaamaan jäännösriskien hyväksymisestä. 30

31 Salassa pidettävien asiakirjojen luokittelu Nykytilaselvityksessä havaittiin, että yksityisen edun vuoksi salassa pidettävän tiedon suojaaminen neliportaista luokittelua käyttäen aiheuttaa ongelmia Lisäksi huomattiin, että Suomi on vertailumaista (Saksa, Hollanti, Viro, Ruotsi ja Iso-Britannia) ainoa maa, jossa sovelletaan neliportaista luokittelua myös muuhun kuin turvallisuusluokiteltuun tietoon Uusissa säädöksissä poistetaan tietoturvallisuusasetuksen suojaustasoluokitus, ja korvataan se yhdellä luokalla salassa pidettävä. Lisäksi harkitaan ei-julkisen/harkinnanvaraisesti julkisen luokan tuomista luokitteluun julkisen ja salassa pidettävän tiedon väliin 31

32 Tietoturvallisuuden vähimmäisvaatimukset Salassa pidettävän tiedon luokittelun uudistamisen yhteydessä luodaan tietoturvallisuuden vähimmäisvaatimukset ohjaamaan kaiken salassa pidettävän tiedon käsittelyä Vähimmäisvaatimukset koskevat kaikkea salassa pidettävää tietoa (myös TL IV), eikä vaatimuksista voi poiketa riskiarvion perusteella Uudistuksen tavoite on yhtenäistää salassa pidettävän tiedon käsittelyä koko julkishallinnossa 32

33 Eheys ja saatavuus Tietoturvallisuudessa on kolme ulottuvuutta: luottamuksellisuus, eheys ja saatavuus. Tietoturvallisuusasetuksessa on erillisiä vaatimuksia koskien ainoastaan luottamuksellisuuden turvaamista. Nykytilaselvityksen perusteella eheyden ja saatavuuden merkitys on kuitenkin jatkuvassa kasvussa, minkä vuoksi myös niihin tulisi kohdistaa erillisiä vaatimuksia. 33

34 VIRANOMAISEN TIEDOT JA ASIAKIRJAT - Viranomaisen luomat tiedot ja asiakirjat - Viranomaisen vastaanottamat tiedot ja asiakirjat - Viranomaisen valmisteltavana olevat tiedot ja asiakirjat Salassa pidettävä, viranomaisharkinta, käyttötarkoitussidonnaisuus ERITTÄIN SALAINEN Suojaustaso I JulkL (621/1999) 24.1 :n k L ( / ) :n k Julkisuuslaki Tietosuojaasetus Muu lainsäädäntö SALASSA PIDETTÄVÄ JulkL (621/1999) 24.1 :n k L ( / ) :n k Tietoturvallisuuden vähimmäistaso SALAINEN Suojaustaso II JulkL (621/1999) 24.1 :n k L ( / ) :n k LUOTTAMUKSELLINEN Suojaustaso III JulkL (621/1999) 24.1 :n k L ( / ) :n k KÄYTTÖ RAJOITETTU Suojaustaso IV JulkL (621/1999) 24.1 :n k L ( / ) :n k Julkisuuslaki KvTituL Muu lainsäädäntö Julkinen tieto 34

35 Henkilötietoasetuksen tietoturvallisuusvaatimukset (kaikille) Arkaluonteiset henkilötiedot Muu erityisperuste TL IV Käyttö rajoitettu TL III Luottamuksellinen TL II Salainen TL I Erittäin salainen VAHTI 100-vaatimukset lainsäädännön vähimmäistaso Tietoturvallisuuden minimitaso luottamuksellisuus salassa pidettävä (nyk ST IV) L Suojattava kohde Muut eheydeltä edellytettävät vaatimukset Muut saatavuudelta edellytettävät vaatimukset Tietoturvallisuuden vähimmäistaso eheys ja saatavuus 35

36 Tietoturvallisuuden vähimmäistaso eheys ja saatavuus Tietoturvallisuuden vähimmäistaso luottamuksellisuus VAHTI 100-vaatimukset lainsäädännön vähimmäisvaatimukset Luottamuksellisuus Saatavuus Eheys x y y K o r o t e t t u t a s o z x y x z z 36

37 Mitä tarvitaan Arviointikriteerit: hankintavaatimukset ICT-palvelut - organisaatio Hankintavaatimukset ICT-palvelu ja muihin hankintoihin Vaatimukset ICT-palveluille Vaatimukset organisaation toiminnalle 37

38 Aikataulu Kytkeytyy tiedonhallintalain aikatauluun tavoite saada laki voimaan vuonna 2019 VAHTI 100 vaatimusten pilotointi kesästä 2018 alkaen Viimeistely osana tiedonhallintalain viimeistelyä Valmistelu ja edistäminen Väestörekisterikeskuksen vastuulla, toimeenpanolle oma useamman vuoden hanke, jossa hyödynnetään mm. tietosuoja-asetuksen JUHTA/VAHTI-yhteishankkeissa luotuja hyviä käytäntöjä 38

39 Kimmo Rousku VAHTI-pääsihteeri Puh Lisätietoja: