Tietoturvaa verkkotunnusvälittäjille

Samankaltaiset tiedostot
Verkkotunnusmääräys. Annettu Helsingissä 15 päivänä kesäkuuta 2016.

Verkkotunnusvälittäjän vastuut ja velvollisuudet. fi uudistuu 2016-kiertue Lakimiehet Sanna Sahlman ja Kirsi Sunila-Putilin

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Auditoinnit ja sertifioinnit

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

PK-yrityksen tietoturvasuunnitelman laatiminen

Pilvipalveluiden arvioinnin haasteet

Kyberturvallisuus kiinteistöautomaatiossa

Laatua ja tehoa toimintaan

Verkkotunnusvälittäjän opas. Ohjeita ja vaatimuksia verkkotunnusvälittäjäksi aikovalle

Viestintäviraston EPP-rajapinta

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Abuse-seminaari

Fennian tietoturvavakuutus

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Henkilötietojen käsittelyn ehdot palvelusetelipalveluntuottajille

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Viestintäviraston tietoturvapolitiikka

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

TIETOTURVAA TOTEUTTAMASSA

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

Määräys teletoiminnan tietoturvasta

Verkkotunnusvälittäjän vastuut ja velvollisuudet. Verkkotunnuspäivä,

Kooste tietoyhteiskuntakaaren (917/2014) verkkotunnuksia koskevista pykälistä

Sähköi sen pal l tietototurvatason arviointi

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Ohje arviointikriteeristöjen tulkinnasta

Tietoturvapolitiikka

Digital by Default varautumisessa huomioitavaa

Lyhyt oppimäärä mistä salauksessa on kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Sopimus henkilötietojen käsittelystä (DPA)

Määräys teletoiminnan tietoturvasta

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa

Abuse-toiminnan ajankohtaiset ilmiöt

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Toimitilojen tietoturva

LSPeL Porin toiminta-alueen kevätseminaari

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

Viestintävirasto Varmaa ja vaivatonta viestintää kaikille Suomessa

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Verkostoautomaatiojärjestelmien tietoturva

Salon kaupunki / /2018

Virtu tietoturvallisuus. Virtu seminaari

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

Tietosuojavaltuutetun toimiston tietoisku

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Mobiililaitteiden tietoturva

Kyberturvallisuus vuosi 2018, 2019 & #kybersää? VAHTI-päivä Tilannekuvapalveluiden ja yhteistyöverkostojen päällikkö Jarna Hartikainen

Lippu-käytännesääntötyöpaja tekniset rajapinnat - tietoturva - liikennepalvelulain sopimusvelvoitteet

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

VIRTU ja tietoturvatasot

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Tietosuojavastaavan toiminta ja dokumentointi

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

Eläketurvakeskuksen tietosuojapolitiikka

TEOLLISUUSAUTOMAATION TIETOTURVA. Jarkko Holappa Kyber-INKA Roadshow, Solo Sokos Hotel Torni, Tampere

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Viestintäverkon rakentaminen/vika- ja häiriötilanteet

Politiikka: Tietosuoja Sivu 1/5

Määritelmät. Tarkoitus. Asiakkaan velvollisuudet. PULSE247 OY TIETOSUOJAEHDOT liite MyCashflow-verkkokauppapalvelun käyttöehtoihin 25.5.

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Kymenlaakson Kyläportaali

Tietoturva ja viestintä

Salon kaupunki , 1820/ /2018

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

ROVANIEMEN KOULUTUSKUNTAYHTYMÄ Tietoturvapoikkeamiin reagoiminen v.2006

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Salon kaupunki / /2018

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Varmaa ja vaivatonta viestintää

ENERSENSE OY:N TIETOSUOJASELOSTE TYÖNHAKIJOILLE. Viimeksi päivitetty:

Tietoturvavastuut Tampereen yliopistossa

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EU:n tietosuoja-asetus

Luottamusta lisäämässä

Asianajotoimisto J. Rajamäki Oy Sibeliuksenkatu 15 B, Järvenpää Puh Fax Sähköposti:

Transkriptio:

Tietoturvaa verkkotunnusvälittäjille

Verkkotunnusvälittäjän tietoturvaa Verkkotunnusmääräyksen 68/2016 mukaan verkkotunnusvälittäjän on huolehdittava toimintansa tietoturvasta Varmistutaan siitä, että tietoturvan kannalta merkittävät tapahtumat havaitaan» Häiriötilanteiden selvittämis- rajoittamis- ja korjaustoimenpiteet pystytään aloittamaan nopeasti (ennen asiakasvalituksia!) Huolehditaan, ettei suojattava tietoaineisto (huom. henkilötiedot!) vuoda ulkopuolisille Varmistetaan verkkotunnusrekisterin ja fi- sekä ax-juuren ajantasainen ja tietoturvallinen toiminta Edistetään verkkotunnuksen toimivuutta!

Lähtötilanne? Osalla verkkotunnusvälittäjistä on tietoturva jo hyvällä tasolla (organisaation muusta toiminnasta johtuen) Tietoturvaa koskevat velvoitteet voivat pitkällä aikajänteellä myös vähentää kustannuksia (häiriöiden vähentyminen) Verkkotunnusvälittäjän toiminnan luonteella on merkitystä Vaihtoehtoiset käyttöliittymät:» Selainkäyttöliittymän tietoturvavelvoitteet löysemmin määritellyt, mutta olemassa!» EPP-rajapintaa käyttävän on toteutettava osa Katakrin vaatimuksista. Myös muut määräyksen velvoitteet toteutettava. Tietoturvavaatimuksia ei ole lyöty lukkoon kaikilta osin, vaan vaihtoehtoisia keinoja on useita. Huomioidaan jo käytössä olevat tekniset tietoturvapalvelut, ja niiden tarkoituksenmukaisuus arvioidaan.

Tietoturvavelvoitteet kaikille verkkotunnusvälittäjille

Tietoturvan perusasiat Luottamuksellisuus, eheys ja palvelun saatavuus Toimenpiteet: Hallinnollisen, henkilöstön, fyysisen ja teknisen tietoturvan osa-alueilta. Tietotekninen tietoturva sisältää järjestelmän tietoturvapalvelut, kuten salauksen Suojattavat toiminnot ja kohteet määritellään, arvioidaan niihin kohdistuvat uhat, sekä palvelun rikkoutumisen vaikutukset. Tehtävät toimenpiteet määritellään riskiarvioinnin pohjalta Riskien hallinnan prosessit ja tulokset dokumentoidaan

Tietoaineistojen luokittelu ja suojaaminen Välitystoiminnan kannalta tärkeiden tietoaineistojen luokitusmenetelmä ja käsittelymenettelyt dokumentoitava Luokittelu vapaa, mutta henkilötietolain mukaan suojattavat ja muun tietoturvallisuuden vuoksi suojattavat sekä julkiset tiedot olisi hyvä jakaa omiin luokkiinsa vastaavasti, käsittelyn ja tarkastamisen helpottamiseksi. Lisätietoja ja esimerkkejä keinoista saa esimerkiksi tietoturvatyökalu Katakri 2015:sta: Katakri I 15 I 19: Aineistoturvallisuus soveltuvin osin: henkilötiedot ym. salassapidettävät tiedot. Katakri I 21: Salassapidettävien tietojen käsittely suojatulla alueella ja suojattujen alueiden välillä. (Etähallinta ja käyttö). Suositellaan perehtymään! Katakri I 23: Elinkaari, päivitykset. Katakri I 24: Varmuuskopiot.

Tietoturvan valvonta Valvontamekanismien dokumentointi (Huom! Katakri I 03) Verkkotunnusvälittäjän on varmistuttava siitä, että tietoturvallisuuden kannalta merkittävät tapahtumat havaitaan» Palvelunestohyökkäykset, tietovuodot, tietomurron yritykset, liian laajat käyttöoikeudet Käytännössä: Välittäjän tulee ylläpitää palvelunsa hallintajärjestelmää Huom! Ulkoistaminen ongelmallista... Dokumentaatiosta tulee selvitä, kuinka välittäjän velvoitteet tietoturvaloukkauksien tapahtuessa toteutetaan määrätyssä ajassa!

Tietoturvaa häiritsevät tai uhkaavat tilanteet Menettelyohjeet tietoturvahäiriöiden ja uhkaavien tilanteiden selvittämiseksi (huom! Katakri I 11), sisältäen» Tietoturvan hallinnan organisointi» Vastuumäärittelyt, vähintään tietoturvasta vastaavien yhteystiedot Merkittävän häiriön sattuessa siitä on ilmoitettava Viestintävirastolle 24h kuluessa: cert (at) ficora.fi Tapahtuma estää tai häiritsee verkkotunnusvälitystoimintaa olennaisesti Ilmoituksen sisältö:» Merkittävä tietoturvaloukkaus tai sen uhka» Arvioitu kesto ja vaikutukset» Korjaustoimenpiteet» Häiriön toistumisen estävät toimenpiteet Mahdollisuuksien mukaan tulee selvittää syy Merkittävyyden arviointiin ohjeita määräyksen 68 perustelumuistiossa Suositellaan myös vapaaehtoisten ilmoitusten tekemistä

Muutosten hallinta Suunnitelmallisuus ja ennakoitavuus: Muutoksia ohjaavat prosessit ja käytännöt on dokumentoitava Huoltoikkuna: katkosten mitoittamisessa huomioitava myös huolellisen toteuttamisen vaatima ajantarve. Ohjelmistomuutoksen vaikutuksia hyvä simuloida etukäteen

Tietoturvavelvoitteet EPP-rajapinnan käyttäjille

EPP-rajapinnan käyttöä koskevat Katakrivaatimukset Verkkotunnusmääräyksen 68 mukaan EPP-rajapintaa käyttäville välittäjille pakolliset Katakri-vaatimukset ovat seuraavat Vaaditut osuudet (ST IV-taso):» Tietoliikenneturvallisuus: I 01 - I 05» Tietojärjestelmäturvallisuus: I 06 - I 13 (ST IV: ei vaatimuksia I 14:ssä) Suositellaan perehtymään muihinkin Katakrin osuuksiin. Erityisesti aineistoturvallisuus ja käyttöturvallisuus. Esimerkiksi:» Elinkaari: muutostenhallintamenettelyt (I 20), haavoittuvuustiedoitteet, päivitykset (I 23)

Tietoliikenneturvallisuus Katakrissa I 01 Tietojenkäsittely-ympäristöt, verkon rakenne,» Palomuurien ja salauksen tarve» Huom! Kasautumisvaikutus ei todennäköinen I 02 Vyöhykkeistäminen, suodatussäännöt I 03 Järjestelmän elinkaari» Muutokset, dokumentaatio I 04 Hallintayhteyksien suojaaminen I 05 Langattomat verkot

Tietojärjestelmäturvallisuus Katakrissa I 06 Pääsyoikeudet I 07 Tunnistaminen I 08 Järjestelmäkovennus I 09 Haittaohjelmasuojaus I 10 Jäljitettävyys I 11 Poikkeamien havainnointikyky ja toipuminen I 12 Salausratkaisut I 13 Ohjelmistot

Yhteenveto tietoturva-asioista

Pohdittavaa Mitä keinoja järjestelmässänne on käytetty henkilötietojen suojaamiseksi? Erillinen säilö? Salaus? Miten suojaatte järjestelmänne haittaohjelmilta ja murtoyrityksiltä? Ovatko menetelmät ajantasaiset? Onko haavoittuvuuksien seuranta kunnossa? Sovellusten päivitykset?» Esimerkki: verkkotunnusvälittäjän asiakkailleen tarjoama itsepalvelukäyttöliittymä... Jos järjestelmä on hajautettu useille paikkakunnille, miten suojaatte liikenteen toimipisteiden välillä? Onko hajautus välttämätöntä? Jos järjestelmää käytetään tai hallitaan etänä, miten suojaatte liikenteen? Entä etätyöpisteen turvallisuus? Onko etähallintamahdollisuus välttämätön? Miten nopeasti pystytte reagoimaan tietoturvan häiriötilanteisiin?

Määräyksessä 68 esitetyt dokumentointivaatimukset Ajantasainen kuvaus tietoturvallisuuden huomioimisesta (Luku 4, 14 ) Riskienhallinnan prosessien ja tulosten dokumentointi Luokituskriteerien ja käsittelymenettelyjen dokumentointi Valvontamekanismien dokumentointi (Huom! Katakri I 03) Menettelyohjeet tietoturvahäiriöiden ja uhkaavien tilanteiden selvittämiseksi Muutoksia ohjaavien prosessien ja käytäntöjen määrittely ja dokumentointi

Hyödylliset linkit Verkkotunnusmääräys 68/2016: https://www.viestintavirasto.fi/ohjausjavalvonta/laitmaarayksetpaatokset/maaraykset/ maarays68fi-jaaxpaatteisistaverkkotunnuksistajaniidenvalitystoiminnastaverkkotunnusmaarays.html Katakri 2015: http://www.defmin.fi/puolustushallinto/puolustushallinnon_turvallisuustoiminta/katakri _2015_-_tietoturvallisuuden_auditointityokalu_viranomaisille Työkalu tietoturvan auditointiin: (Excel-muodossa) https://www.viestintavirasto.fi/attachments/tietoturva/katakri_arviointityokalu.xlsx NCSA-toiminnon hyväksymät salausratkaisut: https://www.viestintavirasto.fi/attachments/tietoturva/ncsa_salausratkaisut.pdf https://www.viestintavirasto.fi/kyberturvallisuus/postituslista.html.stx

Maarit.Hietalahti (at) ficora.fi www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute