Pilvipalveluiden arvioinnin haasteet



Samankaltaiset tiedostot
OPETUS- JA KULTTUURIMINISTERIÖN TOIMIALAN TIETOHALLINNON YHTEISTYÖKOKOUS

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Turvallisuuden lyhyt koulutuspaketti

Varmaa ja vaivatonta viestintää kaikille Suomessa

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Pilvipalvelut ja henkilötiedot

Kuntarekry.fi. case: pilvipalvelut KL-Kuntarekry Oy / Tuula Nurminen

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet Tommi Oikarinen

INFORMAATIOHALLINNON AIKAKAUSI SÄHKÖINEN HALLINTO MENI JO! Ahti Saarenpää

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

JHS 179 Kokonaisarkkitehtuurin suunnittelu ja kehittäminen Liite 9. Virtualisointi ja pilvipalvelut teknologia-arkkitehtuurin suunnittelussa

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Laatua ja tehoa toimintaan

Tämän teoksen käyttöoikeutta koskee Creative Commons Nimeä-JaaSamoin 3.0 Muokkaamaton -lisenssi.

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Varmaa ja vaivatonta

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Auditoinnit ja sertifioinnit

Sonera perustaa Helsinkiin Suomen suurimman avoimen datakeskuksen. #SoneraB2D

Asianajajaliiton tietoturvaohjeet. Asianajosihteeripäivät Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy

Oulu D.C. kapasiteettipalveluita oululaiseen ekosysteemiin

Webinaarin sisällöt

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Aikaisempi laki osoittautui riittämättömäksi

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Pilvipalvelujen tietoturvasta

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

TIETOSUOJASELOSTEET. Lieksan Kehitys Oy LieKe

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Ilma-alusrekisteri ja tiedonluovutus

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Pilvipalvelut kehityksen mahdollistajana - (valmistavan PK-yrityksen näkökulmaa)

TIETOTURVAA TOTEUTTAMASSA

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Mistä on kyse ja mitä hyötyä ne tuovat?

TIETOSUOJASELOSTE Rekisterinpitäjä ja yhteyshenkilö Urheiluseura Katajanokan Kunto - Skattan Kondis ry Osoite: c/o Anu Pylkkänen, Vyökatu 4 b 22,

Lausunto Julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta pyydämme yleisesti huomioimaan seuraavaa:

Tampereen Aikidoseura Nozomi ry

Tietoturvaa verkkotunnusvälittäjille

Tietosuojavastaavan nimeämistä ja muita tietosuoja- ja tietoturva-asioita koskeva kysely sosiaalihuollon palvelujen antajille 2011

Johtokunta Tietoturva- ja tietosuojapolitiikka

Mikä on suomalaisille organisaatioille nyt IN pilvipalveluissa?

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tuunix Oy Jukka Hautakorpi

Verkostokehittäjät-hanke Tietosuoja ja tietoturvallisuus

Tietosuojaseloste. Trimedia Oy

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Järjestelmäarkkitehtuuri (TK081702) Pilvipalvelut. Pilvipalvelut - lähtökohtia

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

pilvipalvelu tarkoittaa?

Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi.

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Hyödynnä DPS- ja SA-setelit Azure hybridipilvi-palveluiden suunnittelussa ja testauksessa!

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Kuntarekry.fi KL-Kuntarekry Oy / Tuula Nurminen

Toimitilojen tietoturva

OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

Tietoturva ja käyttäjäkohtaisuus älykkäässä verkottamisessa Pekka Isomäki TeliaSonera Finland Oyj

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

TIETOSUOJASELOSTE Henkilötietolaki (523/1999) 10 ja 24

Tietosuoja henkilöstön rekrytoinnissa

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Tietosuojaa neuvojille Maaseutuviraston tietosuojavastaava

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

ANVIA PILVI. kotimaisia pilvipalveluita yrityksille 24/7

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

DLP ratkaisut vs. työelämän tietosuoja

Ajankohtaista työelämän tietosuojasta Johanna Ylitepsa

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Tietoturvallisuusliite

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Tietosuoja- ja tietoturvapolitiikka

Pilvipalvelut julkisella sektorilla. Hannu Ojala Julkisen hallinnon tieto- ja viestintätekninen toiminto

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Transkriptio:

Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju

Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä (eli "pilvessä") tapahtuvaa tietotekniikan kehitystä ja käyttöä hajautetuissa ympäristöissä. [...] Palvelu tarjotaan "pilvessä", jonka teknisiä yksityiskohtia palvelun käyttäjät eivät voi nähdä tai hallita. Pilvilaskenta kuvaa uutta tietoteknisten palveluiden tuottamisen, käyttämisen ja toimittamisen mallia, johon liittyy internetin yli palveluna tarjottuja dynaamisesti skaalautuvia ja virtuaalisia resursseja. [...] Pilvipalvelut (cloudservices) ovat "pilvessä" tarjottavia palveluita. Palveluiden pääluokat ovat SaaS (Software as a Service), IaaS (Infrastructureas a Service) ja PaaS (Platform as a Service). (lähde Wikipedia) Pilvipalvelut ovat tyypillisesti paikasta riippumattomia, verkon kautta käytettäviä palveluja. Organisaation tai yksityisen henkilön tarvitsemat sovellukset, palvelut tai tiedot sijaitsevat tällöin palveluntarjoajan palvelimilla Laura Kiviharju, erityisasiantuntija [pvm] 2

Yksityinen pilvipalvelu -Private Cloud Yksityinen pilvi on yhden organisaation käyttöön tarkoitettu, virtuaalisoinnin ansiosta fyysiseen paikkariippumattomuuteen perustuva tekninen ratkaisu Soveltuuko luokitellun tiedon tallentamiseen?» Asiakaskohtainen looginen erottelu, ainoa ero julkiseen pilvipalveluun» Samat todentamiseen liittyvät ongelmat kuin julkisessa pilvipalvelussa» Palvelun arviointi toteutetaan samoin periaattein kuin minkä tahansa tietojärjestelmän arviointi Laura Kiviharju, erityisasiantuntija [pvm] 3

Ennen arviointia... Tarjouspyynnössä vaadittu ja hankintasopimuksessa sovittu:» Tietoturvallisuusvaatimukset» Todentamismenetelmät Huomioitavaa lainsäädäntöä» Tietoturvallisuusasetus (vaatimukset)» Laki kansainvälisistä tietoturvallisuusvelvoitteista (vaatimukset)» Arkistolaki ja henkilötietolaki (vaatimukset)» Sähköisen viestinnän tietosuojalaki (vaatimukset)» Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (todentaminen) Laura Kiviharju, erityisasiantuntija [pvm] 4

Tietoturvallisuuden perustaso (TTA 5 ) TTA 6 : Tietoturvallisuustoimenpiteet huomioitava niin, että velvoitteita noudatetaan myös toimeksiantosuhteissa 1. Viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan; 2. Viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään; 3. Asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään; 4. Tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi; Pilvipalvelun riskienarviointi Poikkeamanhallintamenettelyt 5. Asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi; Tiedonsaanti tarve Laura Kiviharju, erityisasiantuntija [pvm] 5

Tietoturvallisuuden perustaso Käyttöoikeushallinnasta 6. Tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä; 7. Asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja; Tiloja suojaaminen ja valvonta 8. Henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla; 9. Henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä; 10.Annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti. Henkilöstön luotettavuus ja koulutus Laura Kiviharju, erityisasiantuntija [pvm] 6

Pilvipalveluiden merkittävimpiä uhkia ja riskejä Tekniset riskit:» tietoturvaltaan huonot rajapinnat» tiedon tuhoutuminen» pilviteknologiasta aiheutuvat haavoittuvuudet Tietoturvaan liittyvät uhat:» pääsynhallinta» liikenteen kaappaus» tiedon fyysinen sijainti» omien tietoturvakäytäntöjen ulottaminen ulkopuoliseen palveluun» tiedon eristäminen tai salaaminen» pilven rikollinen tai häiriötä aiheuttava käyttö» uusi konsepti, vakiintumattomat käytännöt Palvelun luotettavuuteen liittyvät riskit:» vahinkoa aiheuttavat pilvipalvelun ylläpitäjät, tahallinen tai tahaton toiminta» palveluntarjoaja toiminnan vakaus Lakisäädökselliset riskit» Nykyinen lainsäädäntö ei tue pilvipalvelumallia (monikansallinen toiminta) Laura Kiviharju, erityisasiantuntija [pvm] 7

Viestintäviraston arviointipalvelut: Viranomaisten tietojärjestelmät Pyynnön tekijä» Viranomainen, viranomaisen lukuun hankintoja tekevä, tietojenkäsittely- tai tietoliikennepalveluja taikka niihin liittyviä palvelutehtäviä tarjoava taho Arvioinnin kohde» Tietojärjestelmä tai tietoliikennejärjestely Käytettävät kriteeristöt» VAHTI-ohjeet (tietoturvallisuus ja varautuminen)» KATAKRI Arviointi voidaan tehdä myös osittaisena Laura Kiviharju, erityisasiantuntija [pvm] 8

Arvioinnin eteneminen Arviointiprosessi Laura Kiviharju, erityisasiantuntija [pvm] 9

Pilvipalveluiden hankinnassa huomioitavat keskeiset asiat Mitä tietoa käsitellään» Viranomaisen salassa pidettävä tieto (ST-taso)» Henkilötiedot» Julkinen tieto Minne tieto tallennettu» Valtio (paikallinen lainsäädäntö, auditointimahdollisuudet?)» Datakeskus, konesali (mihin vaatimukset kohdennetaan?) Kenellä palveluntarjoajan henkilöstössä pääsy tietoon» Tiedon erottelu Muut asiakkaat? Luottamus palveluntarjoajaan» Pilvipalvelusertifikaatit https://resilience.enisa.europa.eu/cloudcomputing-certification» Itsearviointi» Toimittajan auditointi» Viranomaisarviointi Laura Kiviharju, erityisasiantuntija [pvm] 10

Kiitos! laura.kiviharju@ficora.fi Laura Kiviharju, erityisasiantuntija [pvm] 11

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute