Tietoturvallisuuden hyvä hallinta. Pääjohtaja, dosentti, OTT Tuomas Pöysti/VTV

Transkriptio

1 Tietoturvallisuuden hyvä hallinta Pääjohtaja, dosentti, OTT Tuomas Pöysti/VTV

2 Valtiontalouden tarkastusviraston näkökulma Valtiontalouden tarkastusvirasto on perustuslaissa säädetty riippumaton valvontaviranomainen (perustuslaissa säädetyt valvontaviranomaiset ovat eduskunnan oikeusasiamies, valtioneuvoston oikeuskansleri ja VTV) Ylin kansallinen ulkoisen tarkastuksen viranomainen sekä vaali ja puoluerahoituksen laillisuusvalvoja Valtion ulkoinen konsernitilintarkastaja ja ulkoinen tilintarkastaja Suorittaa myös ulkoista laillisuustarkastusta ja tuloksellisuustarkastusta Ei ole sisäinen tarkastus eikä siten tee sisäisiä tietoturva auditointeja Arvioi ulkoisena tarkastajana yleensä informaatiohallintoa ja ICTtoimintaa sekä sen osana myös tietoturvallisuuden hallintajärjestelmää ICT järjestelmätarkastus ja sen osana tietoturvallisuuden katsominen informaatiohallinnon ulkoinen tarkastuskokonaisuus VTV:ssa perusoikeuksien toteutuminen hyvä hallinto ja sisäinen valvonta projektienhallinta ja arkkitehtuurit toiminnan tuloksellisuus ja laillisuus 2

3 Tietoturvallisuus on: perusoikeuksien taustalla vaikuttava yhteiskuntaperiaate ja moraalinen ja eettinen periaate (meta perusoikeus) perusoikeusvelvoite olennainen osa hyvää hallintoa verkkoyhteiskunnan ja informaatiohallinnon oloissa yrityksen kilpailukykytekijä luo luotettavuutta esim. valtionhallinnon tietoturvatasojen mukaista tasoa tullaan vaatimaan myös kumppaneilta osa yrityksen yhteiskuntavastuuta on rakenne tiedon tiellä, joka on normeilla vahvasti päällystetty ja määritelty 3

4 Tietoturvallisuuden erityispiirteitä informaatiohallinnossa ja verkkoyhteiskunnassa Tietoturvallisuus riippuu arkkitehtuureista, johtamisesta ja sen osaamisesta, osaamisesta ja ihmisistä tietoturvallisuus edellyttää sen sisällyttämistä arkkitehtuureihin ja järjestelmiin Vastapuoliriskit kumuloituvat verkossa => uusia systeemiriskejä Yksittäiset riskit voivat myös kumuloitua systeemiriskeiksi tai niihin verrattaviksi riskeiksi yksittäisten teknologioiden ja sovellusten turvallisuutta arvioitava myös tästä näkökulmasta Julkinen hallinto on yleensä yhteiskunnan viimekätinen turvaaja 4

5 Arkkitehtuurit ovat tietoturvallisuuden hallintakeino Perusoikeusvelvoitteinen hallinta: yksilön integriteetti ja oikeuksien toteutuminen! Verkkoarkkitehtuuri ja verkkoinfra Abstraktiotaso Kokonaisarkkitehtuuri Toimintaarkkitehtuuri Tietoarkkitehtuuri Teknologia arkkitehtuuri Järjestelmät Sovellukset ICT & järjestelmäarkkitehtuuri Aika 5

6 Tietoturvallisuuden hyvä hallinta edellyttää oikeaa asennetta Tietoturvallisuus on asenne johtamiseen tämä on usein tietoturvallisuuden hyvän hallinnan ongelma Tietoturvallisuus on huolellisuutta ja osaamista työssä osaamisen johtaminen ja kehittäminen eettiset toimintasäännöstöt Tietoturvallisuus on hyvää henkilöstöpolitiikkaa erityisesti sosiaalisten verkostojen ja sosiaalisen median aikakaudella hyvää henkilöstöpolitiikkaa koskevat velvoitteet tietoturvallisuutta koskevassa lainsäädännössä erityisesti sähköisen viestinnän tietosuojalaki ja laki yksityiselämän suojasta työelämässä eettiset toimintasäännöstöt työpaikalla laatu ja toimintakäsikirjat ovat myös tietoturvallisuuden toteuttamisen tärkeitä välineitä 6

7 Tietoturvallisuuslainsäädäntöä on paljon mutta se ei ole selkeää eikä huomioi eräitä keskeisiä riskejä Identtiteettivarkaudet Yhdysvalloissa yksi yleisimmistä seurauksiltaan vakavan rikollisuuden muodoista Identiteettivarkauksien yleistyminen kehitystrendi myös Suomessa Identiteettivarkaudessa yleensä toteutuu jokin rikos Suomessa mutta identiteettivarkautta ei sellaisenaan ole erikseen kriminalisoitu ei ole suhtauduttu kovin vakavasti identiteettivarkaudet mahdollistaviin henkilötietolain rikkomisiin Suomen yleinen lähestymistapa huolimattomuuteen ja puutteisiin hyvän tietojenkäsittelytavan toteuttamisessa ja sen rikkomisten sanktioinnissa ei hyvin vastaa Euroopan ihmisoikeussopimukseen ja ihmisoikeustuomioistuimen käytäntöön perustuvia periaatteita yksilön suojelusta Suomessa ei ole yleistä tietoturvallisuuslakia = > toteutuuko tietoturvallisuuden hyvä hallinta lainsäädännön tasolla? 7

8 Tietoturvallisuuden hyvää hallintajärjestelmää edellytetään lainsäädännössä Henkilötietolaki koko tiedon tien ja elinkaaren kattavat suunnittelu ja toimeenpanovelvoitteet Julkisuuslaki, erityisesti JulkL 18 hyvästä tiedonhallintatavasta Valtioneuvoston asetus valtionhallinnon tietoturvallisuudesta 681/2010, valtionhallinnon tietoturvatasot Tietoturvallisuusasetuksen 6 koko tiedon tien kattava hallintajärjestelmä Sähköisen viestinnän tietosuojalaki asianmukaisten tietoturvallisuustoimenpiteiden edellyttäminen käyttöpolitiikat ja yrityssalaisuuksien kartoitus, pääsykontrollit ja siirtäminen Lainsäädäntö edellyttää yleensä järjestelmällistä ja ajantasaista tietoturvallisuuden hallintajärjestelmää Asianmukaisesti toteutettu ISO standardointi ja sen edellyttämä taso yleensä täyttää hallintajärjestelmää koskevat vaatimukset 8

9 Tietoturvallisuuden hallintajärjestelmä, esim. ISO Prosessilähtökohta: suunnittele toteuta tarkista toimi! (Plan Do Check Act, PDCA malli) Integrointi yleiseen riskienhallintaan, sisäiseen valvontaan ja laatujärjestelmään Dokumentoitu ja jatkuvasti yllä pidettävä tietoturvallisuuden ja ICTturvallisuuden hallintajärjestelmä vastuututukset, tietoturvallisuuspolitiikka, tietosuojapolitiikka ja tietojärjestelmäselosteet Hallintajärjestelmän luominen ja hallinta ja kontrollitavoitteet riskien kartoituksen ja analyysin perusteella Dokumentoitu kannanotto riskeihin ja soveltamisohjeet 9

10 Tietoturvallisuuden hallintajärjestelmä Hallintajärjestelmän käytännön operointi: jatkuvuussuunnitelmat ja muut toimet, tietoturvatyö Hallintajärjestelmän jatkuva seuranta ja arviointi sekä päivittäminen Johdon vastuu Asianmukaiset resurssit ja resurssien hallinta Tietoturvallisuusauditoinnit Johdon suorittama hallintajärjestelmän arviointi ja kehittäminen 10

11 Tietoturvallisuuden hallintajärjestelmän osista tarkemmin (esim. ISO 27002,. pohjalta) Riskien arviointi ja riskeihin vastaaminen Tietoturvallisuustyön ja tietoturvallisuuden hallinnan organisointi ja hallintamenettelyt Tietopääoman hallinta osana tase ja voimavarahallintaa Henkilöstöturvallisuus Fyysinen ja toimitilaturvallisuus Viestintäturvallisuus ja toimintojen hallinta Aineistoihin ja järjestelmiin pääsyä koskevat kontrollit 11

12 Tietoturvallisuuden hallintajärjestelmän osat (jatkoa) Järjestelmien kehitys, hankinta ja ylläpito Tietoturvallisuustapahtumien seuranta ja hallinta Toiminnan jatkuvuuden turvaaminen Lainsäädännön ja toiminnan vaatimustenmukaisuuden hallinta (compliance) ja sen varmistaminen => tietoturvallisuuden vieminen osaksi kunkin organisaation omaa toimintaa 12

13 Tietoturvallisuussopimukset Tärkeä osa tietoturvallisuuden hallintaa Henkilötietolainsäädäntö edellyttää ulkoistettaessa tietojen käsittelyä Salassapitosopimus Varsinaiset tietoturvallisuuslausekkeet sopimuksissa Valtion IT sopimusehdoissa avaus mutta ei nykytilan tarpeisiin nähden riittävästi Ulkoistus ja kumppanuustilanteissa on sitoutettava sopimuksilla tietyn tietoturvallisuustason noudattamiseen Tietoturvallisuuden auditointointia koskevat sopimukset Auditointimahdollisuus olisi sisällytettävä ulkoistusta koskeviin sopimuksiin 13

14 Tietoturvallisuusauditoinnit Johdon jatkuva seuranta ja itsearviointi on olennainen osa tietoturvallisuuden hyvää hallintaa Tietoturvallisuuden auditoinnit ovat hyödyllinen väline johdolle kuuluvassa seurannassa ja arvioinnissa kun auditoinnit tehdään asiantuntevalla tavalla ja riittävästi tietoturvallisuuden auditoinnit on hyvä nähdä laajemmassa viitekehyksessä osana yleistä riskienhallintaa ja turvallisuusjohtamista ks. Kansallinen turvallisuuden auditointikriteeristö Katakri Suositeltava säännöllisiä auditointeja Auditoinnit tehtävä objektiivisesti ja riittävillä resursseilla ja asiantuntemuksella kv standardien mukainen toimintamalli suositeltavin, ks. esim. ISO tai vastaava kansainvälinen suositus Tietoturvallisuusauditointien lisäksi olisi suositeltavaa, että sisäiset tarkastukset tekisivät sisäisen tarkastuksen projektien ja niiden riskien hallintaan järjestelmä ja kehitysprojektien aikana sekä arvioisi auditointien tuottaman tiedon hyödyntämistä 14

15 Tietotilinpäätös ja tietosuojapolitiikka kuuluvat tietoturvallisuuden hyvään hallintaan Tietotilinpäätös auttaa kokoamaan keskeiset tietopääomaa ja sen hallintaa koskevat tiedot tietotilinpäätöksestä ks. VTV:n tilin ja laillisuustarkastuksen ylijohtajan Marjatta Kimmosen esitelmä VTV:n ja TSV:n ITfoorumissa > puheet Tietotilinpäätös on myös tietoturvallisuuden hoitoa koskeva yhteiskuntavastuuraportti Tietosuojapolitiikka dokumentit voidaan liittää osaksi tietoturvallisuuden hallintajärjestelmää Organisaation laatu /toimintakäsikirja on laatujärjestelmän piirissa olevissa organisaatioissa kokonaisuus, johon tietoturvallisuuden hallinnan vaatimukset tulisi linkittää 15

16 Tietoturvallisuuden hyvä hallinta Tietoturvallisuuden hyvä hallinta on tulevaisuuden menestystekijöitä Tietoturvallisuuden hyvä hallinta on korostuneesti hyvän hallinnon ja hallinnan tärkeä osa 16