Digital by Default varautumisessa huomioitavaa

Transkriptio

1 Digital by Default varautumisessa huomioitavaa VAHTI Sähköisen asioinnin tietoturvaseminaari osana VAHTI Digitaalisen turvallisuuden teemaviikkoa 1

2 Agenda Palvelun riskienhallinta ja riippuvuudet Palvelun varautumistoimien kohdentaminen Esimerkkejä varautumistoimenpiteistä 2

3 Sähköisen asiointipalvelun yleinen rakenne 3

4 Palvelun riskienhallinta ja riippuvuudet Riskien ja riippuvuuksien hallinnassa suunniteltavaa ja huomioitavaa: Suunnittele Palvelun tietojenkäsittely ja käyttötapaukset Suunnittele Palvelun vastuunjako ja määritä sen mukaisesti edellytettävä yhteistyö ja sopimukset Suunnittele Palvelun teknisten ja käytön lokien keruu ja seuranta Palvelun elinkaaren vaihe Palveluun saattaa kohdistua useita riskejä sekä riippuvuuksia muista palveluista ja tukipalveluista Tunnista Palvelun riskiprofiili sekä sovi riskienhallinnan menettelytavat Ohjeista ja kouluta Palvelun tuottamiseen osallistuvat sekä Palvelun merkittävät käyttäjäryhmät 4

5 Palvelun varautumistoimien kohdentaminen Varautumistoimiin vaikuttavat yleensä: Palvelun kriittisyys- ja tärkeysluokittelu (mikä on Palvelun merkittävyys toiminnalle ja sen prosesseille?) Palvelun jatkuvuuden ja ICT-varautumisen vaatimukset huomioi erityisesti vaatimusten suunnittelussa, asettamisessa sekä seurannassa Suunniteltu vastuunjako voidaan toteuttaa panostamalla sopimuksiin ja seuraamalla Palvelun sopimuksenmukaisuutta ja laatua 5

6 Palvelun varautumistoimien kohdentaminen Valittujen Palveluiden osalta on suositteleva arvioida vaikutuksia (esim. BIA-työkalun avulla) 6

7 Palvelun varautumistoimien kohdentaminen Käyttöliittymien ja palvelurajapintojen eriyttäminen Tarpeet kahdennukselle ja kuormantasaukselle 7

8 Palvelun varautumistoimien kohdentaminen Arvioi uudelleen ja kehitä varautumistoimia seuraavien perusteella: Palvelun kriittisyys- ja tärkeysluokittelu ja arviot vaikutuksista Palvelun muutostilanteissa riittävät varautumistoimet ja riskiarviot Palvelun riskiarvioista kehittämiskohteita Palvelun testauksista sekä tietoturva-arvioinneista kehittämiskohteita Palvelun turvallisuuden ylläpitämiseksi haavoittuvuuksien ja varmistuksien hallinnan seuranta Palvelun läheltä-piti- ja häiriötilanteista oppiminen 8

9 Esimerkkejä varautumistoimenpiteistä Mikäli palvelua suunnitellaan ja edelleen kehitetään, palvelun kehitys-, testaus- ja hyväksyntäprosesseissa tietoturvallisuuden ja tietosuojan huomioiminen Mikäli palvelu on tuotannossa, palvelun normaalin toiminnan seuraaminen ja poikkeavuuksien tunnistaminen Varautumisen harjoittelu sisäisesti ja yhteistyössä: tekninen toipumisharjoittelu, jatkuvuusharjoittelu, häiriötilanteiden hallinnan harjoittelu, valittujen korkea riskisten skenaarioiden harjoitteleminen 9

10 Esimerkkejä varautumistoimenpiteistä Arvioidaan varautumistoimenpiteiden riittävyys Palvelun riskiarvioinnit ja seurantamenettelyt Palvelun tietoturvallisuuden tilan arviointi (esim. heikkoudet ja haavoittuvuudet, vaatimuksenmukaisuus) Rajoitetaan ja tarkistetaan Palvelun palvelurajapintojen ja käyttöliittymien syötteitä (käyttäjiltä ja tietojärjestelmiltä) Mikäli Palvelun kautta voidaan lähettää tiedostomuotoisia aineistoja, on huomioitava riskit haittaohjelmista - arvioi varautumistoimenpiteitä Tiedoston muototarkistukset: mm. sallitut tyypit, maksimi koot Haittaohjelmatarkistukset 10

11 KIITOS! 11