Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Samankaltaiset tiedostot
Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

Miten uudistettu VAHTI voi auttaa organisaatiotasi turvallisuuden kehittämisessä? Kimmo Rousku

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Laatua ja tehoa toimintaan

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko maanantai Aku Hilve ja Kimmo Rousku

VIRTU ja tietoturvatasot

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Kansallinen kyberturvallisuusharjoitus miten harjoitus tekee mestarin?

Vihdin kunnan tietoturvapolitiikka

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen Valtiovarainministeriö

VÄESTÖREKISTERIKESKUKSEN DIGITURVAPALVELUT. Kirsi Janhunen, johtava asiantuntija, VRK

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASETTAMINEN

TAISTO18-harjoitus - palauteseminaari

VAHTIn kesäseminaari Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus VAHTI

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta

Tietoturvapolitiikka

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Tietoturvapolitiikka Porvoon Kaupunki

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Tommi Oikarinen / VM

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Kimmo Rousku

Tietoturvapolitiikka

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Heikki Talkkari / VM

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko tiistai Sähköisen asioinnin tietoturvaseminaari

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

Työryhmän ehdotus hallituksen esitykseksi laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

JUHTA-asiantuntijaryhmä tietoturva, tietosuoja, varautuminen Toteuma v. 2017, suunnitelma v. 2018

OPETUS- JA KULTTUURIMINISTERIÖN TOIMIALAN TIETOHALLINNON YHTEISTYÖKOKOUS

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko torstai ylimmän johdon seminaari Kimmo Rousku

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

50 vuotta JUHTAA ja VAHTIA -juhlaseminaari

Aku Hilve, Tuija Kuusisto, Eeva Lantto, Kirsi Janhunen

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Val-DIAS. Kimmo Rousku, Hanna Heikkinen, Juha Kirves Väestörekisterikeskus

Tietosuoja-asetus Immo Aakkula Arkistointi

Pilvipalveluiden arvioinnin haasteet

Ehdotus hallituksen esitykseksi laiksi hallinnon yhteisistä sähköisen asioinnin tukipalveluista (VM140:06/2013)

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Luonnos: Projektisuunnitelma EU-tietosuoja-asetuksen toimeenpanon tukemiseksi

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tiedonhallinnan lainsäädännön kehittäminen

Espoon kaupunki Tietoturvapolitiikka

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvavastuut Tampereen yliopistossa

VAHTI - Kuntien tietoturvajaoston kuntien kyberturvallisuuden alueseminaari Helsinki 9.10

Ajankohtaista tiedonhallintalain toimeenpanossa - tietoturvallisuus

JUHTA asetus ja asettaminen. JUHTA Sami Kivivasara, VM JulkICT

Valtioneuvoston asetus

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Espoon kaupunki Tietoturvapolitiikka

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE VÄESTÖREKISTERIKESKUS

TIETOTURVAPOLITIIKKA

VAHTI-barometrin tulokset

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Tiedonhallinnan lainsäädännön kehittäminen

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Valtion konesali- ja kapasiteettipalvelun merkitys valtion konesalistrategian toteuttamisessa VM/JulkICT / Tuomo Pigg

Miten tietoa voisi kysyä vain kerran?

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 3

Tietoturvapolitiikka NAANTALIN KAUPUNKI

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Arkistolainsäädännön uudistuksen nykytila Maaret Botska, kehityspäällikkö, arkistotoimi ja asiakirjahallinto, diat 1-10

Eduskunnan hallintovaliokunnan kannanotto tietohallintolain vaikutuksiin. JUHTA Sami Kivivasara

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Toimitilojen tietoturva

VAHTIn toiminta

Julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittävän työryhmän asettaminen

MISSÄ VIIPYY TURVALLISUUDEN DIGITALISAATIO? Kimmo Rousku - Palopäällystöpäivät, Helsinki

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Lausuntopyyntö julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

Virtu tietoturvallisuus. Virtu seminaari

Transkriptio:

Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 13.2.2018 Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Esitykseni sisältö 1) Valtiovarainministeriön rooli 2) Tavoite ja mistä tässä kokonaisuudessa on kyse? 3) Miten uusi VAHTI toimii ja edistää digitaalista turvallisuuta? 4) VAHTI 100 nykytila ja tulevaisuus 2

@kimmo Kimmo Rousku VAHTI-pääsihteeri kimmo.rousku@vrk.fi Puh. 029553 5120 @kimmorousku Kutsuthan minut verkostoosi? ATK-ICT-alalla v 1985 saakka ~nörtti Valtionhallinnossa v 1994- Tietohallintotausta, joka muuttunut viimeisen ~10 v aikana tietoturvakyberturvallisuus riskienhallinnaksi Olen kirjoittanut v. 1993-2017 noin ~20 teosta TiVi-Turvasatama-blogi v 2012 alkaen 3

Valtiovarainministeriön rooli Valtiovarainministeriön tehtävänä on (1) julkisen hallinnon tietoturvallisuuden yleinen kehittäminen ja (2) valtionhallinnon tietoturvallisuuden ohjaus. Valtiovarainministeriön toimivalta tietoturvallisuuden ja tietohallinnon ohjauksessa ja kehittämisessä perustuu useisiin säädöksiin. Tällaisia ovat laki julkisen hallinnon tietohallinnon ohjaamisesta (634/2011), laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011), valmiuslaki (1552/2011), valtioneuvoston ohjesääntö (262/2003) ja valtioneuvoston asetus valtiovarainministeriöstä (610/2003). 4

Julkisen hallinnon digitaalisen turvallisuuden johtoryhmä - VAHTI Valtiovarainministeriö on asettanut VAHTIn toimimaan julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. VAHTIn asema on kirjattu voimassa oleviin valtioneuvoston periaatepäätöksiin Suomen kyberturvallisuusstrategiasta 2013 ja valtionhallinnon tietoturvallisuuden kehittämisestä 2009. Lisäksi VAHTIlla on keskeinen rooli kyberturvallisuusstrategian toimeenpano-ohjelman v. 2017 2020 toteuttamisessa. 5

Mikä meidän tavoite on?

Vähentää tällaisten uutisten määrää tai laatua 7

Mistä tässä kokonaisuudessa on kyse?

Huomioitava aina! Tietoturvallisuus Tietoturvallisuus = tiedon saatavuus + eheys + luottamuksellisuus ja mikäli mukana henkilötietoja, huomioitava tietosuoja Tietoturvallisuus on tietosuojan mahdollistaja Tietosuoja Luottamuksellisuus Kimmo Rousku 28081999-1234 Saatavuus Eheys 9

Kyberturvallisuus Tietoturvallisuus näyttäytyy hyvin vahvasti tietojen, osin tietojärjestelmien näkökulmasta Kyberturvallisuus tarkoittaa laaja-alaisesti digitaalisen toimintaympäristön (virtuaalinen bitti / ICT-maailma mutta myös fyysinen maailma) toiminnan turvaamista, johon kuuluu myös datan ja informaation käsittelyyn liittyvät fyysiset rakenteet (konesalit, sähkönjakelu, henkilöstö jne). Kyberturvallisuutta on myös kyky sietää näitä uhkia (resilienssi). Kyberturvallisuuteen voidaan vaikuttaa useilla erilaisilla keinoilla, tietoturvauhan lisäksi myös hybridivaikuttamisen keinoin 10

- informaatiovaikuttaminen (muista myös ptrollaus ) Ja muita keinoja ovat esimerkiksi psykologiset, poliittiset, taloudelliset, tekniset, humanitaariset ja sotilaalliset keinot 11

12

13

Toimintaan kohdistuvat tieto- ja kyberturvauhat Toiminnan johtaminen Riskienhallinta Varautuminen häiriötilanteisiin Tekninen turvallisuus Tietoturvallisuus Kaiken toiminnan ja tiedon saatavuuden ja eheyden turvaaminen Henkilötiedot tietosuoja Salassa pidettävä tieto luottamuksellisuus Hallinnollinen turvallisuus Henkilöstö Suojattava tieto kohde toiminta Toiminnan mittaaminen ja vaatimusten hallinta sekä arviointi Toimintaan kohdistuvat vaatimukset 14

Mistä tässä kaikessa on kyse? Vaatimustenmukaisuus 15

Ja päätavoite Tuottamamme palvelut ovat turvallisia ja niihin voidaan luottaa. #luottamus #menestys Kehitämme turvallisuutta hyödyntäen tarkoituksenmukaisesti uutta teknologiaa Painoalueet: Johtaminen ja riskienhallinta henkilöstön koulutus teknisen turvallisuuden kehittäminen, esimerkiksi havainnointikyky ja reagointi 16

Miten uusi VAHTI toimii ja edistää digitaalista turvallisuuta

Kyber- ja tietoturvallisuuden kehittäminen, ohjaus ja yhteistyö Valtionhallinnon digitaalisen turvallisuuden johtaminen Turvallisuuskomitea JUHTA TIETOKEKO Valmiuspäällikkökokous NSA-yhteistyöryhmä Valtioneuvoston ja hallinnonalojen tietoturvaryhmät Operatiiviset toimijat (mm. ICT-palvelu- ja kyberturvallisuuskeskukset) 18

Yhteistyön laajentaminen VAHTIn uudet peruspilarit 1. Johtaminen ja riskienhallinta JORI Tietoturvallisuuden hallintajärjestelmä sekä riskienhallinta 2. Toiminnan jatkuvuuden hallinta TOJA Ennakoiva suunnittelu ja varautuminen normaaliolojen häiriöihin ja poikkeusoloihin, tarvittava harjoittelu ja testaaminen 3. Turvallisuus kehittämisessä TUKE Uusien asioiden toteuttamisessa (hankkeet, projektit, muu toiminta) edellytettävät vaatimukset 4. Turvallisuuden ylläpito TUTO Operatiivisen toiminnan ylläpito 5. Seuranta ja arviointi SETI Vaatimustenmukaisuus, tavoitteiden asettaminen ja saavuttamisen arviointi, mittaaminen 19

VAHTIn toimintasuunnitelma v. 2017-2019 Keskeiset tehtävät v 2017: 2.1 Tietoturvasäädöstön uudistaminen ja toimeenpano => siirtyminen v 2018 2.6 JUHTA-yhteistyö 2.6.1 Tietosuojakoulutukset 2.6.2 Osoitusvelvollisuuden toteuttamisen yhteishanke 20

VAHTI 100

Vaatimustenmukaisuus vuonna 2018 - nykytila Tietoturvallisuusasetus 681/2010 - https://www.finlex.fi/fi/laki/alkup/2010/20100681 Tietoturvallisuuden perustaso 5 ja siellä olevat 10 kohtaa VAHTI-ohje 2/2010 ja sen liite 5 antavat ohjeet perus- ja korotetun tietoturvatason osalta Vastaavasti toiminnan jatkuvuutta voidaan kehittää sekä ICTvarautumisen ohjeistuksen (2/2012) sekä Toiminnan jatkuvuuden hallinnan (2/2016) avulla Kaikessa toiminnassa tarvitaan riskienhallintaa uusi ohje ja prosessi sekä työkalu saatavilla VM 22/2017 Ohje riskienhallintaan 22

Vaatimustenmukaisuus tiivistys - vuonna 2019=> Tiedonhallintalain myötä korvautuu tietoturvallisuusasetus ja ennen kaikkea kansallisen salassa pidettävän tietoaineiston luokittelu Suojaustasoluokittelu poistuu, mutta turvallisuusluokitellun tiedon osalta jäävät (esimerkiksi kansallinen turvallisuus) ST IV Käyttö rajoitettu ST I Erittäin salainen Samoin tietoturvatasot poistuvat ja tilalle tulee tietoturvallisuuden vähimmäistaso, joka edellyttää jatkossa paremmin myös saatavuuden ja eheyden varmistamista kaiken toiminnan osalta ja luottamuksellisuuden varmistamista kun kyse on salassa pidettävistä tiedoista Toteutamme ja rakennamme tätä varten kokonaan uudet työnimellä VAHTI 100- kulkevan vaatimuskehikon organisaatio tietojärjestelmä hankinta vaatimukset sekä näiden auditoinnin & tarkastuksen mahdollistavat auditointikriteerit mallia mahdollista pilotoida kun vaatimusluonnokset valmistuvat alustavasti kesän aikana lainsäädäntötyön etenemisen varmistuessa 23

Miten tähän on päädytty? Vuonna 2015 arkistolain valmistelutyöryhmä VM:ssä tehtiin kevät 2016-2017 selvitys tietoturvallisuusasetus nykytila ja tavoite Tiedonhallintalain taustalla työryhmätyö ja nyt asetettu valmistelutiimi ja ohjausryhmä lainsäädännön viimeistelemiseksi 24

Taustaa Arkistolain jatkotyöryhmän muistio Ehdotus laiksi tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa, 2015:12 toteaa: Ehdotettuun yleislakiin otetut tietoturvallisuutta koskevat säännökset vastaavat pääosin nykyisin asetuksella säädettyjä, minkä vuoksi niiden kehittämistarpeet ja - mahdollisuudet on arvioitava jatkovalmistelun aikana. JulkICT asetti 8.4.2016 jatkovalmistelun tueksi hallinnonalojen nimeämistä edustajista koostuvan ohjausryhmän Puheenjohtaja T Kuusisto, sihteeri S Seppänen, jäseninä K Rousku, E Lantto, R Paananen, K Janhunen Jäsenet: Valtioneuvoston kanslia, ulkoasiainministeriö, oikeusministeriö, sisäministeriö, puolustusministeriö, opetus- ja kulttuuriministeriö, maa- ja metsätalousministeriö, liikenneja viestintäministeriö, sosiaali- ja terveysministeriö, työ- ja elinkeinoministeriö, Turvallisuuskomitean sihteeristö, Eduskunta, Elinkeinoelämän keskusliitto, Espoon kaupunki, Huoltovarmuuskeskus, Kuntaliitto, KELA, Puolustusvoimat, Suomen Pankki, Suojelupoliisi, Valtori, Verohallinto, Viestintävirasto, Väestörekisterikeskus HAUS - 14.12.2016 TSV-koulutusohjelma 25

Asetetut tavoitteet Kuvata tietoturvallisuuden toteuttamisen ja tietoturva-asetuksen soveltamisen nykytila valtionhallinnossa Kuvata tietoturva-asetuksen soveltamisen nykytilan haasteet ja kehittämistarpeet julkisessa hallinnossa siten että se palvelee kokonaisturvallisuutta ja koko yhteiskuntaa Kuvata vertailu tietoturvasäännöstöön EU-maissa yhteistyössä ViVin ja NSAn kanssa Hankkia tavoitetilan pohjaksi tietoturvatutkimustietoa Suomesta Kuvata tietoturvasäännöstön kehittämisen tavoitetila Suomessa mukaan lukien suhde kybertoimintaympäristön turvallisuuteen Kuvata tavoitetilan taloudellinen vaikuttavuus HAUS - 14.12.2016 TSV-koulutusohjelma 26

Tehtävien tilanne Hallinnonalakohtaiset haastattelut, 31 kpl, tehty Tietoturvallisuustutkimustieto kerätty Verkkokysely tehty: 7.9.-22.9. & 30.9.-7.10. Kuulemistilaisuuksia/ tapaamisia järjestetty Kuulemistilaisuudet : 21.6. ICT-toimittajille, 8.9. kuntatoimijoille Tapaamisia: 7.11 Tietosuojavaltuutettu, 15.11 OM, 18.11 yritysten tietoturvapäälliköt Vertaileva selvitys muiden EU-maiden tietoturvallisuuslainsäädännöstä suoritettu 24.10.2016 Iso-Britannia, Ruotsi, Viro, Saksa ja Hollanti Nykytilaraportti, luonnosversion valmistui alkuvuosi 2017 Tietoturvallisuuden toteuttamisen ja tietoturva-säännöstön nykytilan, haasteiden, kehittämistarpeiden ja kansainvälisen vertailun kuvaus HAUS - 14.12.2016 TSV-koulutusohjelma 27

Muutokset tietoturvalainsäädäntöön

Sovellusala Aikaisempi tietoturvallisuussääntely (Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 681/2010) on koskenut ainoastaan valtionhallintoa. Tietoturvasäädösten sisällyttäminen tiedonhallintalakiin laajentaa niiden soveltamisalan koko julkishallintoon, myös kuntiin. Nykytilaselvityksessä havaittiin puutteita tietoturvallisuusasetuksen ohjeistamisessa ja koulutuksessa, mikä on johtanut epäyhtenäisiin käytäntöihin. Tämän vuoksi lainsäädännön uudistusten lisäksi täytyy kouluttaa ja ohjeistaa myös ennallaan säilyvän sääntelyn vaatimukset riittävästi. Säädösten ulottaminen koko julkishallintoon korostaa yhtenäisen tulkinnan merkitystä. 29

Riskienhallinta Säädöksistä puretaan kiinteitä kontrolleja sisältänyt tietoturvallisuuden tasomalli, mikä korostaa riskien arvioimisen, hallinnan ja jäännösriskien hyväksymisvastuun merkitystä Uudet säännökset nojaavat vahvasti riskienhallintaan, ja toimiva johto velvoitetaan vastaamaan jäännösriskien hyväksymisestä. 30

Salassa pidettävien asiakirjojen luokittelu Nykytilaselvityksessä havaittiin, että yksityisen edun vuoksi salassa pidettävän tiedon suojaaminen neliportaista luokittelua käyttäen aiheuttaa ongelmia Lisäksi huomattiin, että Suomi on vertailumaista (Saksa, Hollanti, Viro, Ruotsi ja Iso-Britannia) ainoa maa, jossa sovelletaan neliportaista luokittelua myös muuhun kuin turvallisuusluokiteltuun tietoon Uusissa säädöksissä poistetaan tietoturvallisuusasetuksen suojaustasoluokitus, ja korvataan se yhdellä luokalla salassa pidettävä. Lisäksi harkitaan ei-julkisen/harkinnanvaraisesti julkisen luokan tuomista luokitteluun julkisen ja salassa pidettävän tiedon väliin 31

Tietoturvallisuuden vähimmäisvaatimukset Salassa pidettävän tiedon luokittelun uudistamisen yhteydessä luodaan tietoturvallisuuden vähimmäisvaatimukset ohjaamaan kaiken salassa pidettävän tiedon käsittelyä Vähimmäisvaatimukset koskevat kaikkea salassa pidettävää tietoa (myös TL IV), eikä vaatimuksista voi poiketa riskiarvion perusteella Uudistuksen tavoite on yhtenäistää salassa pidettävän tiedon käsittelyä koko julkishallinnossa 32

Eheys ja saatavuus Tietoturvallisuudessa on kolme ulottuvuutta: luottamuksellisuus, eheys ja saatavuus. Tietoturvallisuusasetuksessa on erillisiä vaatimuksia koskien ainoastaan luottamuksellisuuden turvaamista. Nykytilaselvityksen perusteella eheyden ja saatavuuden merkitys on kuitenkin jatkuvassa kasvussa, minkä vuoksi myös niihin tulisi kohdistaa erillisiä vaatimuksia. 33

VIRANOMAISEN TIEDOT JA ASIAKIRJAT - Viranomaisen luomat tiedot ja asiakirjat - Viranomaisen vastaanottamat tiedot ja asiakirjat - Viranomaisen valmisteltavana olevat tiedot ja asiakirjat Salassa pidettävä, viranomaisharkinta, käyttötarkoitussidonnaisuus ERITTÄIN SALAINEN Suojaustaso I JulkL (621/1999) 24.1 :n k L ( / ) :n k Julkisuuslaki Tietosuojaasetus Muu lainsäädäntö SALASSA PIDETTÄVÄ JulkL (621/1999) 24.1 :n k L ( / ) :n k Tietoturvallisuuden vähimmäistaso SALAINEN Suojaustaso II JulkL (621/1999) 24.1 :n k L ( / ) :n k LUOTTAMUKSELLINEN Suojaustaso III JulkL (621/1999) 24.1 :n k L ( / ) :n k KÄYTTÖ RAJOITETTU Suojaustaso IV JulkL (621/1999) 24.1 :n k L ( / ) :n k Julkisuuslaki KvTituL Muu lainsäädäntö Julkinen tieto 34

Henkilötietoasetuksen tietoturvallisuusvaatimukset (kaikille) Arkaluonteiset henkilötiedot Muu erityisperuste TL IV Käyttö rajoitettu TL III Luottamuksellinen TL II Salainen TL I Erittäin salainen VAHTI 100-vaatimukset lainsäädännön vähimmäistaso Tietoturvallisuuden minimitaso luottamuksellisuus salassa pidettävä (nyk ST IV) L Suojattava kohde Muut eheydeltä edellytettävät vaatimukset Muut saatavuudelta edellytettävät vaatimukset Tietoturvallisuuden vähimmäistaso eheys ja saatavuus 35

Tietoturvallisuuden vähimmäistaso eheys ja saatavuus Tietoturvallisuuden vähimmäistaso luottamuksellisuus VAHTI 100-vaatimukset lainsäädännön vähimmäisvaatimukset Luottamuksellisuus Saatavuus Eheys x y y K o r o t e t t u t a s o z x y x z z 36

Mitä tarvitaan Arviointikriteerit: hankintavaatimukset ICT-palvelut - organisaatio Hankintavaatimukset ICT-palvelu ja muihin hankintoihin Vaatimukset ICT-palveluille Vaatimukset organisaation toiminnalle 37

Aikataulu Kytkeytyy tiedonhallintalain aikatauluun tavoite saada laki voimaan vuonna 2019 VAHTI 100 vaatimusten pilotointi kesästä 2018 alkaen Viimeistely osana tiedonhallintalain viimeistelyä Valmistelu ja edistäminen Väestörekisterikeskuksen vastuulla, toimeenpanolle oma useamman vuoden hanke, jossa hyödynnetään mm. tietosuoja-asetuksen JUHTA/VAHTI-yhteishankkeissa luotuja hyviä käytäntöjä 38

Kimmo Rousku VAHTI-pääsihteeri Puh. 029553 5120 Lisätietoja: kimmo.rousku@vrk.fi vahti@vm.fi www.vahtiohje.fi www.arjentietosuoja.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute