VIESTINTÄVERKKOJEN JA VIESTINTÄPALVELUIDEN VARMISTAMINEN; OHJEITA KÄYTTÄJILLE. TIVA-seminaari

Samankaltaiset tiedostot
Tietojärjestelmien varautuminen

Ulkoistaminen ja varautumiseen liittyvät sopimusasiat alihankkijan näkökulmastakulmasta. Pentti Tammelin YIT Teollisuus- ja verkkopalvelut

Sähkö- ja teleyritysten yhteistoiminnasta. Veli-Pekka Kuparinen, valmiuspäällikkö

TIETO2007-OPIT. Veli-Pekka Kuparinen valmiuspäällikkö

Pilvipalveluiden arvioinnin haasteet

Abuse-seminaari

Varautumis- ja valmiussuunnittelman laadinta Fingridissä Pekka Niemi

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Luottamusta lisäämässä

Valmiusharjoituksesta hyödyt irti Häme17 - Sysmä. Taneli Rasmus

Teollisen valmiuden kehittäminen kunnossapidon kumppanuudessa

Valtioneuvoston asetus

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Tietoturvapolitiikka

Lapin pelastuslaitos Tehtävät, vastuu ja varautuminen. Lapin alueellinen maanpuolustuskurssi nro 51 Sodankylä

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

2. Kuntien valmiussuunnitelmien lainsäädännöllinen perusta? 3. Mitä tarkoitetaan huoltovarmuudella ja miten sitä toteutetaan?

Varautumisen ohjeistus. Veli-Pekka Kuparinen valmiuspäällikkö

Määräys VIESTINTÄVERKON VERKONHALLINNASTA. Annettu Helsingissä 24 päivänä elokuuta 2007

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Jatkuvuuden varmistaminen

Tietojenkäsittelyn varautumissuunnitelma TietoVasu

VALVO JA VARAUDU PAHIMPAAN

Suunnitellut alueellisen varautumisen rakenteet - katsaus valmistelutilanteeseen. Vesa-Pekka Tervo

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Luonnos LIITE 1

Finanssivalvonnan painopisteet varautumisen valvonnassa

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Määräyksen 11 uudistaminen

Varmaa ja vaivatonta viestintää

Pääesikunta, logistiikkaosasto

Vihdin kunnan tietoturvapolitiikka

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Tietoturvapolitiikka

VARAUTUMISSEMINAARI VARAUTUMINEN ALUEHALLINNON UUDISTUKSESSA

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Varmaa ja vaivatonta viestintää kaikille Suomessa Viestintätoimialan muutostekijät 2010-luvulla

Palvelutasolupaus - vai palvelutason kuvaus?

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Viestintävirasto JTS LiV

Elinkeinoelämä ja huoltovarmuus

Varautuminen sotelainsäädännössä

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Mobiililaitteiden tietoturva

Liikenne- ja viestintäministeriö Puolustusvoimat Huoltovarmuuskeskus Riihimäki (TIVA:t )

Viestinnän tulevaisuus

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Kriisitilanteiden tietoliikenne, informaatioinfrastruktuurin turvaaminen

RIITTÄÄKÖ LUOTTAMUS HÄIRIÖTILANTEESSA? SOPIMUSPERUSTEINEN VARAUTUMINEN Valmiusasiamies Jaakko Pekki

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Pelastustoimen uudistushanke

Määräys VIESTINTÄVERKON RAKENTEESTA, LIITYNTÄPISTEISTÄ, HF (HUMAN FACTORS)-NÄKÖKOHDISTA, TÄRKEYSLUOKITTELUSTA JA VARMISTAMISESTA.

TIETOTURVAPOLITIIKKA

Määräys hätäliikenteen teknisestä toteutuksesta ja varmistamisesta

Punkalaitumen kunta ja. Valtion tieto- ja viestintätekniikkakeskus. Valtori

VIRTU ja tietoturvatasot

Jatkuvuuden hallinta. Kiwa Inspecta. ISO Yleistietoa. Jarkko Puistovirta Tuotepäällikkö, Pääarvioija. BECP Certified ISO Lead Implementor

Helsingin valmiussuunnitelma

Savonlinnan kaupungin valmiustoiminta Kaupunginjohtaja Janne Laine

<<PALVELUN NIMI>> Palvelukuvaus versio x.x

Tietoyhteiskuntakaaren käsitteistöä

Sopimusoikeus ja tietotekniikka. IT-sopimukset. Sopimuksesta yleistä. Mitä ovat IT-sopimukset. Suomessa yleiset sopimusehdot: IT2000

Arkistolaitoksen ohje analogisten asiakirjojen suojaamisesta poikkeusoloissa

Tietoturva- ja tietosuojapolitiikka

Viestintä häiriötilanteissa Anna-Maria Maunu

Palvelusopimus. Meri-Lapin kuntapalvelut liikelaitoskuntayhtymä. Kemin kaupunki

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

Tietoturvapolitiikka Porvoon Kaupunki

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Kunnan varautuminen tietotekniikan näkökulmasta -case Oulun Tietotekniikka. varajohtaja Seppo A. Pyykkö

2.1 Yhteispalveluna tarjottavat avustavat asiakaspalvelutehtävät

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Sisällysluettelo LIIKENNEVIRASTO OHJE 2 (7) Dnro 4258/005/2011

Varmaa ja vaivatonta viestintää kaikille Suomessa

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

POHJOIS-POHJANMAAN MAAKUNTAUUDISTUKSEN KOKONAISVARAUTUMISEN TILANNEKATSAUS. Maakuntauudistuksen johtoryhmä

Miten toteutetaan hyvä vesihuollon varautumissuunnitelma ja miten toimintaa häiriötilanteessa voidaan harjoitella? Lounais-Suomen vesihuoltopäivä

TIETOTURVAA TOTEUTTAMASSA

ELINTARVIKEHUOLTOSEKTORIN POOLIT Valmiuspäällikkö Aili Kähkönen. Elintarvikehuoltosektorin poolit

CERT-CIP seminaari

Keskeiset muutokset varautumisen vastuissa 2020

Ajankohtaista varautumisesta ja Jäätyvä 2018 kokemukset

Varmaa ja vaivatonta

KUJA2: Kuntien ja maakuntien jatkuvuudenhallinta -projekti. Aki Pihlaja Projektipäällikkö

TYÖ- JA ELINKEINOMINISTERIÖN EHDOTUS TOIMENPITEISTÄ SÄHKÖNJAKELUN VARMUUDEN PARANTAMISEKSI SEKÄ SÄHKÖKATKOJEN VAIKUTUSTEN LIEVITTÄMISEKSI

PALVELUKUVAUS järjestelmän nimi versio x.x

Maakuntien asema ja rooli varautumisen toimijoina

YHTEISKUNNNAN TURVALLISUUSSTRATEGIA 2010

YHTEISKUNNAN TURVALLISUUSSTRATEGIA - KOMMENTTIPUHEENVUORO

Viestintäviraston tilannekuvahanke TIKU2012+ Pertti Hölttä

Standardi RA1.6. Ilmoitus toiminnan ulkoistamisesta. Määräykset ja ohjeet

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Määräys viestintäverkkojen ja -palveluiden yhteentoimivuudesta

Transkriptio:

VIESTINTÄVERKKOJEN JA VIESTINTÄPALVELUIDEN VARMISTAMINEN; OHJEITA KÄYTTÄJILLE TIVA-seminaari 10.11.2005

PROJEKTIRYHMÄ Projektiryhmä kokoontui seitsemän kertaa Jäsenet: Tapani Rantanen, puheenjohtaja Erkki Heliö Alpo Mäkinen Kari Wirman Antti Järvinen Päivikki Lavonius, projektisihteeri Veli-Pekka Kuparinen, kokoussihteeri Juhani Lahti Eero Vesterinen Aki Kallio 10.11.2005 Kari wirman 2

Sisällysluettelo LUKIJALLE 1. VARAUTUMISEN PERUSTEITA 1.1. Käsitteitä ja määritelmiä 1.2. Tietojärjestelmiin kohdistuvat uhkat 1.3. Tietoturvallisuus 1.4. Energian saannin turvaaminen 1.5. Toimintojen ulkoistaminen ja palvelun tuottajan valinta 1.6. Tietoturvaloukkauksista, vioista ja häiriöistä ilmoittaminen 2. VARAUTUMINEN 3. TOIMINTA NORMAALIOLOJEN HÄIRIÖTILANTEISSA 4. VALMIUDEN TEHOSTAMINEN 5. TOIMINTA JA OHJAUS POIKKEUSOLOISSA 5.1. Sähköisen viestinnän ja tiedonkäsittelyn sääntely ja säännöstely 6. LAINSÄÄDÄNTÖ JA OHJEITA Liite 1 ULKOISTAMISEN KARTOITUS Liite 2 VIESTINTÄVERKKOJEN JA PALVELUIDEN VARMISTAMISLISTA Liite 3 VARAUTUMISEEN LIITTYVIÄ WWW- OSOITTEITA 10.11.2005 Kari wirman 3

Ohjeen tarkoitus Tämän ohjeen tarkoituksena on auttaa käyttäjää selvittämään mitkä ovat kriittisiä toimintoja mitä uhkia niihin kohdistuu kuinka näihin on varauduttu mitä toimenpiteitä ne aiheuttavat ja kuka vastaa niihin varautumisesta 10.11.2005 Kari wirman 4

1.2. Tietojärjestelmiin kohdistuvat uhkat Tietojärjestelmät on ymmärrettävä laajasti, käsittäen kaikki tiedon tallentamiseen, siirtämiseen, kokoamiseen ja muuhun käsittelyyn käytettävät järjestelmät. Tietojen ja tietojärjestelmäpalveluiden saatavuus on nykyään edellytys lähes kaikkien prosessien toiminnalle. Tietojärjestelmiin kohdistuu erityyppisiä uhkia tai niiden yhdistelmiä jo normaali-oloissa. Uhkien vaikutuksia kohdistuu tietojen eheyteen, jolloin ulkopuolinen voi valtuudettomasti muuttaa alkuperäisiä tietoja tai viestien tai tapahtumien osapuolia sekä niiden tapahtuma-aikoja koskevia tietoja tietojen luottamuksellisuuteen, jolloin ulkopuolinen saa luvatta haltuunsa salassa pidettävää tietoa tietojen saatavuuteen, jolloin oikea tiedon käyttäjä ei saa haltuunsa tarvitsemaansa tietoa tai tietopalvelua silloin, kun hän sitä tarvitsee tietojärjestelmän hallintaan, jolloin tunkeutuja estää tai hidastaa esimerkiksi palvelinten toimintaa tai järjestää tunkeutujille etuoikeuksia. 10.11.2005 Kari wirman 5

2. VARAUTUMINEN Käyttäjäorganisaation toimintamahdollisuudet normaalioloissa, normaaliolojen häiriötilanteissa ja poikkeusoloissa riippuvat käytössä olevien tietojärjestelmien teknisistä rakenteista sekä niiden käyttöön ja ylläpitoon liittyvistä järjestelyistä. Pääsääntö on, että käyttäjät vastaavat itse toimintansa turvaamisesta ja varautumisesta. Käyttäjän tulee tietojärjestelmien toiminnan turvaamiseksi varmistaa omin toimenpitein vastuullaan olevien järjestelmien osien toiminta. Tämä tarkoittaa käytännössä vastaavien varmistusmenetelmien käyttöä kuin mitä teleyritykset soveltavat yleisten viestintäverkkojen varmistamisessa. 10.11.2005 Kari wirman 6

2. VARAUTUMINEN Tietojärjestelmäalan palveluiden varmistaminen on usean eri toimijan tehtävä palveluiden käyttäjien vastuulla on huolehtia omassa hallinnassaan olevien verkkojen ja järjestelmien toiminnasta. käyttäjän tulee tietojärjestelmien toiminnan turvaamiseksi omin toimenpitein varmistaa vastuullaan olevien järjestelmien osien toiminta sekä sopimuksin varmistaa toisten osapuolten hallussa olevien järjestelmän osien toiminta palvelua tarjoavan osapuolen tulee toteuttaa sopimuksen edellyttämät toimenpiteet hallussaan olevien verkkojen ja järjestelmien osalta. 10.11.2005 Kari wirman 7

Varautumissuunnitelma Varautumissuunnitelmassa tulee käsitellä muun muassa seuraavia asioita varautumissuunnittelun tavoitteet ja vastuu- sekä henkilöjärjestelyt arviot erilaisten häiriötilanteiden vaikutuksista yrityksen toimintaan yrityksen johtaminen normaaliolojen häiriötilanteissa ja poikkeusoloissa; organisaatio ja toimivaltuudet varatilojen varustaminen kaikissa oloissa ylläpidettävien toimintojen määrittely tilojen riskikartoitukset henkilöstön tavoitettavuus henkilöstön varaaminen varautumiskoulutus energian saannin varmistaminen materiaalinen varautuminen: tietotekniikan varaosat, tarvikkeet, poltto- ja voitelu-aineet, ajoneuvo- ja työkonevarausmenettelyt alihankinta- ja ostopalveluriippuvuudet ja niihin liittyvät sopimukset myös henkilöstön osalta viestintäverkkojen ja palveluiden varmistaminen turvallisuustoimenpiteet ja pelastaminen yhteistoiminnan järjestelyt: menettelyt, yhteyshenkilöt varautumisen ylläpito- ja tarkastamismenettelyt varautumistilanteen seuranta ja raportointi tiedottaminen 10.11.2005 Kari wirman 8

3. TOIMINTA NORMAALIOLOJEN HÄIRIÖTILANTEISSA Tietojärjestelmien toimittajien palveluiden saatavuus on varmistettava palvelutasosopimuksilla. Sopimuksissa pitää sopia vähintään seuraavat asiat häiriöiden poistamiseen ja vikojen korjaukseen liittyvät vasteajat ja kiirehtimismahdollisuudet varaosien ja korvaavien laitteiden saatavuus yhteydenpitokanavat ja -menettelyt häiriöiden korjaamiseen liittyvät järjestelyt paikanpäällä tai kaukokäyttöisesti etätyönä informaatio tapahtumien kulusta ja eritoten arviot häiriön kestosta 10.11.2005 Kari wirman 9

5. TOIMINTA JA OHJAUS POIKKEUSOLOISSA Poikkeusoloja ovat valmiuslaissa ja puolustustilalaissa säädetyt tilanteet, joiden hallitseminen ei ole mahdollista viranomaisten säännönmukaisin toimivaltuuksin ja resurssein. Yhteiskunnan elintärkeiden toimintojen turvaamiseksi pitää ottaa huomioon myös tällä hetkellä vähemmän todennäköiset poikkeusolot. Poikkeusolojen valmiuden tavoitteina ovat yrityksen oman toiminnan turvaaminen poikkeusolojen vaikutuksista huolimatta valtiovallan asettamien poikkeusolojen valmiusvaatimusten täyttäminen yrityksen toiminnan kannalta yrityksen toiminnan kannalta välttämättömän tietojenkäsittelyn ylläpito resurssien vähentyessä tietojenkäsittelyn korvaavien järjestelmien käyttöönotto tarvittaessa edellytysten luominen häiriötilanteista elpymiselle palaaminen normaaliin toimintaan 10.11.2005 Kari wirman 10

6. LAINSÄÄDÄNTÖ JA OHJEITA Sähköistä viestintää koskevia lakeja löytyy osoitteesta http://www.mintc.fi. Viestintäviraston voimassa olevat tekniset määräykset, suositukset määräysten soveltamisesta ja standardiluettelot löytyvät osoitteesta:www.ficora.fi kohdasta Teletoiminta/Teletoimintamääräykset (http://www.ficora.fi/suomi/tele/n2540.htm). Viestintäviraston voimassa olevat suositukset löytyvät osoitteesta:www.ficora.fi kohdasta Teletoiminta/Standardointi/Kansalliset telealan suositukset (http://www.ficora.fi/suomi/tele/suositus.htm). Viestintäviraston CERT.FI varoitukset ja ohjeet löytyvät osoitteesta http://www.ficora.fi kohdasta Tietoturva/Tietoturvaloukkausten havainnointi ja ratkaisu (CERT-FI) (http//www.ficora.fi/suomi/tietoturva/cert.htm) Viestintäviraston määräyksiä, ohjeita ja suosituksia päivitetään säännöllisesti. Määräyksen tunnuksessa oleva kirjain kertoo määräysversion. Esimerkiksi, kun määräys 27 C/2002 M päivitettiin vuonna 2004, uuden version tunnukseksi tuli 27 D/2004 M. Kunkin määräyksen ja suosituksen voimassa olevan version voi tarkistaa Viestintäviraston www-sivuilta. Valtiovarainministeriön antamat valtion tietohallinnon, tietojenkäsittelyn ja tietoturvallisuuden yleiset ohjeet löytyvät osoitteesta http://www.vm.fi/vahti Esimerkiksi Valtion tietohallintotoimintojen ulkoistamisen tietoturvallisuussuositus, VAHTI 2/1999 Valtion viranomaisen tietoturvallisuustyön yleisohje, VAHTI 1/2001 Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslista, VAHTI 6/2001 Toimet tietoturvaloukkaustilanteissa, VAHTI 7/2001 (uusittavana) Tietoteknisten laitetilojen turvallisuussuositus, VAHTI 1/2002 Käyttäjän tietoturvaohje, VAHTI 5/2003 Tietoturvallisuuden hallintajärjestelmän arviointisuositus, VAHTI 3/2003 Standardit BS 7799-1.fi ja BS 7799-2.fi sekä ISO 17799:2000 löytyvät osoitteesta http://www.sfs.fi. Standardit ovat maksullisia. Elinkeinoelämän varautumisohjeita ja suosituksia löytyy Huoltovarmuuskeskuksen kotisivuilla http://www.nesa.fi. ja Elinkeinoelämän keskusliiton (EK) kotisivuilta http://www.ytnk.fi. Liitteeseen 3 on koottu varautumiseen liittyviä www- osoitteita. 10.11.2005 Kari wirman 11

Liite 1 ULKOISTAMISEN KARTOITUS Kysymys Kyllä Ei EOS Huomiot Onko yrityksenne liiketoimintaan liittyviä prosesseja tai niiden osia ulkoistettu? Onko ulkoistus tehty yhden vai useamman kumppanin kanssa? Ovatko kumppanit korvattavissa toisella palveluntarjoajalla? Ovatko ulkoistetuista palveluista vastuussa olevat henkilöt entisiä työntekijöitänne?? Oletteko varmistaneet palveluntarjoajilta riittävät henkilöresurssit erilaisissa häiriötilanteissa Oletteko varmistuneet palveluntarjoajan henkilökunnan luotettavuudesta turvallisuusselvitysmenettelyllä? 10.11.2005 Kari wirman 12

Liite 2 VIESTINTÄVERKKOJEN JA PALVELUIDEN VARMISTAMISLISTA Kysymys Kyllä Ei EOS Huomiot Onko yrityksellänne liiketoiminnan kannalta kriittisiä tietoliikenneyhteyksiä? Onko näille yhteyksille hankittu varayhteydet? Ovatko varayhteydet saman operaattorin toimittamia kuin varsinaiset yhteydet? Ovatko toteutettu varayhteydet fyysisesti eri reittiä kuin varsinainen yhteys? Onko tietoliikennepalveluista tehty turvallisuussopimus? Onko käyttöönne varattu nimettyjä resursseja häiriötilanteissa tai poikkeusoloissa 10.11.2005 Kari wirman 13

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute