4 vinkkiä NIS-direktiivin. haltuunottoon

Samankaltaiset tiedostot
Varmaa ja vaivatonta viestintää

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Tietoturvapolitiikka

5581/16 ADD 1 team/sl/si 1 DGE 2B

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Fennian tietoturvavakuutus

Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista

Kolsterin IPR-palvelupaketit kansainvälisen kasvun vauhdittamiseksi. Mikro- ja pk-yritysten INNOVAATIOSETELI

Sovelto Oyj JULKINEN

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Kyberturvallisuus kiinteistöautomaatiossa

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista

PK-yrityksen tietoturvasuunnitelman laatiminen

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Komission tiedonanto älykkäiden ja yhteentoimivien liikennejärjestelmien strategiaksi EU:ssa

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Pilvipalveluiden arvioinnin haasteet

Luottamusta lisäämässä

Vesihuolto päivät #vesihuolto2018

Tietoturvaa verkkotunnusvälittäjille

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Mitä pitää huomioida tämän päivän tietoturvasta ja kuinka varautua kyberturvariskeihin. Mikko Saarenpää Tietohallintopäällikkö MPY Palvelut Oy

Sisämarkkina- ja kuluttajansuojavaliokunta ILMOITUS JÄSENILLE (03/2017)

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Pro Laadunhallinta. Standardit

Valtioneuvoston asetus

Tukesin rooli kosmetiikan turvallisuuden varmistamisessa

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET PKSSK:SSA

Mistä on kyse ja mitä hyötyä ne tuovat?

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Neljännen sukupolven mobiiliverkon tietoturvakartoitus Operaattorin näkökulma

Lainsäädännön kehitys maksamisen alueella

Abuse-seminaari

TARKISTUKSET FI Moninaisuudessaan yhtenäinen FI 2013/0027(COD) Lausuntoluonnos Ana Gomes (PE v02-00)

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

Luottamusta lisäämässä. Toimintasuunnitelma

Tietojärjestelmien valvonnan ajankohtaiset asiat

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

EU:n sähköisen viestinnän sääntelyn uudistamista koskevat ehdotukset

Vihdin kunnan tietoturvapolitiikka

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Suomen ilmailun turvallisuudenhallinta

Päätelaitteen turvallinen käyttö sairaalaympäristössä Markku Korkiakoski

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Kyberturvallisuuden implementointi

Monipalveluverkot Tietoturvauhkia ja ratkaisuja. Technical Manager Erkki Mustonen, F-Secure Oyj

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Kansallinen CIP-seminaari. Jani Arnell Vanhempi tietoturva-asiantuntija CERT-FI

Ulkoasiainvaliokunta LAUSUNTOLUONNOS. kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalle

1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Mobiililaitteiden tietoturva

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Mitkä ovat vuoden 2017 keskeisimpiä tietoturvauhkia?

Ohje arviointikriteeristöjen tulkinnasta

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Valtioneuvoston asetus yhteiskunnan toiminnan kannalta merkittävistä lentoasemista ja satamista

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

HE 61/2018 vp: Liikenne- ja viestintäministeriön hallinnonalan virastouudistus. Eduskunnan liikenne- ja viestintävaliokunta 9.5.

TIETOPAKETTI EI -KYBERIHMISILLE

TIETOTURVAA TOTEUTTAMASSA

Tietosuojaseloste. Trimedia Oy

SYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Sähköisen liiketoiminnan kehittäminen Päijät-Hämeen pk-yrityksissä. Ari Saloranta

Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista

Uuden sairaalan kokonaisturvallisuus. Juhana Suurnäkki FM, CISM

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Istekki Keski-Suomen ICT-ryhmä

NELJÄ HELPPOA TAPAA TEHDÄ TYÖNTEKIJÖIDEN TYÖSTÄ JOUSTAVAMPAA

Tietoturvapolitiikka

HE 127/2016 vp: laki laivavarustelain muuttamisesta. Liikenne- ja viestintävaliokunta Jenni Rantio

Kybersairauden tiedostaminen! Sairaanhoitopiirien kyberseminaari Kari Wirman

Johdanto sisäisen turvallisuuden strategian valmisteluun. Kehittämisneuvos Harri Martikainen

Transkriptio:

4 vinkkiä NIS-direktiivin haltuunottoon

Tämä opas sisältää yrityksellesi 4 vinkkiä, jotka sinun on hyvä ottaa huomioon, kun verkko- ja tietoturvadirektiivi astuu voimaan toukokuussa 2018. Kirjoitusvaiheessa NIS-direktiivin verkko- ja tietojärjestelmien vähimmäisvelvoitteita ei ole määritelty, vaan ne oletettavasti julkaistaan lain astuessa voimaan. Kannattaa huomioida, että vastuu vähimmäisvelvoitteiden täyttämisessä on itse organisaatiolla. Verkko- ja tietoturvadirektiivillä EU:n jäsenvaltiot velvoitetaan järjestämään tietoturvallisuuteen liittyvää viranomaistoimintaa. Direktiivi velvoittaa myös yhteiskunnan toiminnan kannalta keskeisten palveluiden tarjoajat ja digitaalisten palveluiden tarjoajat huolehtimaan tietoturvariskien hallinnasta ja raportoimaan poikkeamista valvontaviranomaisille. Atea toimii konsultointiasiantuntijana arvioimassa esitystä kommenttikierroksella. Direktiivin yleisenä tavoitteena on kasvattaa suojan tasoa verkko- ja tietoturvaloukkauksia, -riskejä ja -uhkia vastaan. Tarkoituksena on saavuttaa korkeatasoinen verkko- ja tietojärjestelmien turvallisuus EU:n alueella parantamalla varautumista kansallisella tasolla, lisäämällä EU-tason yhteistyötä sekä säätämällä riskienhallinta- ja raportointivelvoitteita keskeisille palveluntarjoajille sekä tietyille digitaalisten palveluiden tarjoajille.

Heikko tietoturva on aina riskitekijä Joulukuussa 2016 hakkerit pimensivät Ukrainan pääkaupungin Kiovan sähköverkosta 20 prosenttia muutamaksi tunniksi. Myös vuoden 2015 joulukuussa tapahtui hyökkäys sähköverkkoja vastaan Ukrainassa. Haittaohjelmistot kehittyvät vaarallista tahtia tavoitteena kaataa kriittisiä järjestelmiä ja tähän varaudutaan NIS-direktiivillä. Tämä uhkakuva ei ole ainoastaan Ukrainan ongelma, vaan kaikkien maa ilman valtioiden ongelma, koska samaa ohjelmistoa voidaan käyttää uudestaan myös muihin maihin. NIS-direktiiviin on hyvä herätä viimeistään nyt ja varautua vakaviin yhteiskuntaa lamauttaviin katastrofeihin päivittämällä sähköverkko vastaamaan haasteita. Kannattaa ottaa hyödyt irti heti ja ottaa haltuun jatkuva kehitystyö, koska kyseessä ei ole vain kertaluontoinen päivitys. Direktiivi ja lainsäädäntö eivät vaadi kohtuutonta panostusta, koska niitä vastaavien vaatimusten täyttäminen on osa liiketoiminnan vaatimaa riskienhallintaa. Autamme pysymään ajan tasalla uusista vaatimuksista sekä kerromme oikeanlaista ja tarkkaa informaatiota tämänhetkisestä nykytilastanne. Organisaatiollasi on vapaus toteuttaa vähimmäisvelvoitteet haluamallanne tavalla. Direktiivi ei vaadi tietyn palvelun tai teknologian hankkimista, koska Liikenneja viestintäministeriön Verkko- ja tietoturvadirektiivin kansallista täytäntöönpanoa tukevan työryhmän loppuraportissa suositellaan, että toimenpide ei saisi edellyttää tietyn kaupallisen tieto- ja viestintäteknologiatuotteen toteutusta tietyllä tavalla.

Valmistaudu NIS-direktiiviin 1. Kartoita tietoturvan taso Jotta organisaatiosi täyttää myöhemmin määritettävät vähimmäisvelvoitteet, on nyt hyvä hetki kartoittaa järjestelmien ja tietoturvan taso. Tässä yhteydessä verkko- ja tietojärjestelmien turvallisuuden tasolla tarkoitetaan kykyä suojautua hyökkäyksiltä ja uhilta, jotka vaarantavat luottamuksellisten tietojen tai palvelun toiminnan turvallisuutta. Muistathan huomioida myös uusimmalla tekniikalla mahdollistettavat hyökkäykset. Kartoituksessa ei keskitytä pelkästään tekniseen, vaan myös organisatoriseen toteutukseen. Tiedättekö kuinka työntekijänne käyttävät internetiä organisaationne verkosta? Huolimaton verkkoselailu voi myös asettaa verkkonne alttiiksi hyökkäyksille. Kannattaa myös tarkistaa kuinka päätelaitteiden käsittelystä on sovittu ja kuinka yhteistä ohjeistusta noudatetaan. Kartoituksen yhteydessä on hyvä miettiä uhkatilanteiden toipumissuunnitelma. Oli tietoturva kehitettävällä tai hyvällä tasolla, on aina järkevää miettiä etukäteen toimenpidesuunnitelma worst case scenario -tilanteiden varalta. Atean Pro Tip: Varmista ensisijaisesti, että verkko- ja tietojärjestelmänne on turvattu uhkaavilta toimenpiteiltä. Kiinnitä erityisesti huomiota SCADA-verkon suojaukseen: fyysinen verkon eristys, etäyhteyksien nykyaikainen salaus, salasanakäytänteet sekä kohdistettujen virus- ja BOT-hyökkäysten suojaamiselta. Kartoita organisatoriset tietoturvan nykytila ja kehitettävät käytänteet. Laadi uhkatilanteiden toipumissuunnitelma.

2. Valmistaudu tuleviin tietoturvauhkiin Lienee sanomattakin selvää, että uusia uhkia verkko- ja tietojärjestelmille syntyy koko ajan - jopa tihenevään tahtiin. Monesti tähän asti tietoon tuleviin uhkiin on reagoitu vasta, kun ennakkotapauksia on ilmennyt. Näihin pystytte varautumaan proaktiivisesti. Vuonna 2018 kuumana puheenaiheena on ollut analytiikka ja tekoäly. Nämä teknologiat ovat tulleet myös tietoturvan avuksi. Älykkään palomuurin, analytiikan ja koneoppimisen avulla havaitset normaalista verkkoliikenteestä poikkeavat tapahtumat - oli liikenne ulkoapäin tulevaa tai omasta verkosta lähtevää. Manuaalista työtä vähentää se, että poikkeamista saadaan automaattisia ilmoituksia. Verkkoliikenneanalytiikkaa seuraamalla ja protokollatason liikenteen monitoroinnilla pystyt tarkastelemaan, onko normaalista poikkeava liikenne reagoimisen arvoista, ja pystyt reaaliajassa reagoimaan ja päivittämään verkkorajoituksia. Tämä vaatii täysin valvottavissa olevaa yhtenäistä perus palveluverkkoa. Atean Pro Tip: Ota harkintaan älykkäät sähköverkot ja ennakoivat tietoturvapalvelut verkko- ja tietojärjestelmää päivittäessä. Päivitä säännöllisesti fyysisen tietoturvan ja tietoturvakäytännöt ajan tasalle. Henkilöstönne on hyvä tietää hyvät tietoturvakäytänteet, mikä usein vaatii yhteisiä tietoturvan pelisääntöjä sekä niiden jalkauttamista ja jatkuvaa kouluttamista.

3. Määritä raportointiprosessi ja vastuuhenkilöt Verkko- ja tietoturvadirektiivi velvoittaa, että hallitset verkko- ja tietojärjestelmienne turvallisuuteen kohdistuvia riskejä sekä pystyt raportoimaan viipymättä poikkeamista toimivaltaiselle viranomaiselle. On todennäköistä, että toimivaltainen viranomainen tulee olemaan Viestintävirasto. Poikkeamalla tarkoitetaan tapahtumaa, joka vaikuttaa haitallisesti organisaationne verkko- ja tietojärjestelmän tietoturvassa. Poikkeaman raportoinnissa pitää tulla esille tiedot, joiden perusteella Viestintävirasto voi määrittää poikkeaman vaikutuksen laajuuden. Voimme olettaa, että raportoinnissa tulee ilmetä seuraavat asiat: käyttäjien määrä, tapahtuman kesto, maantieteellinen sijainti sekä taloudelliset vaikutukset. Raportointiprosessin on täytettävä verkko- ja tietoturvadirektiivin vaatimukset. Verkko- ja tietoturvadirektiivin asettaman raportointiprosessin on hyvä soveltua myös yrityksenne liiketoiminnan tarpeisiin ja yrityksen toimintakulttuuriin. Näin saat raportoinnista kaiken hyödyn irti. Raportointivelvoitteen tarkoituksena on myös tukea organisaation verkko- ja tietoturvajärjestelmien tietoturvantason kartoittamista ja riskienhallinnassa. Raportointiprosessi tulee myös tarkastella organisaation sisäisten tietoturvapoikkeamien kannalta sekä loppukäyttäjien näkökulmasta. Atean Pro Tip: Laadi prosessi, jonka avulla pystyt määrittelemään vikatilanteen raporttiin vaadittavat tiedot.

4. Päivitä tietoturvasuunnitelma Tietoturvasuunnitelman avulla ennaltaehkäiset tietoturvariskien syntymistä ja varaudut organisaatiossasi toimimaan riskien toteutuessa. Tehokkaalla tietoturvasuunnitelmalla pystyt ennalta ehkäisemään organisaation toiminnan kannalta tärkeiden tietojen menettämistä, sekä niistä aiheutuvia taloudellisia menetyksiä. Hyvä tietoturvasuunnitelma perustuu tunnistettuihin riskeihin ja riskienhallintaan. Verkko- ja tietoturvadirektiivi velvoittaa, että keskeisillä palvelutarjoajilla sekä digitaalisen palvelun tarjoajilla tulee olla tietoturvasuunnitelma. Tietoturvasuunnitelman määrittämiseksi organisaatiossa on kartoitettava ja arvioitava turvallisuusuhkaympäristö, näin oletuksellinen NIS-direktiivin asettama riskienhallin taprosessi toteutuu. Määritä organisaatiosi tietoturvasuunnitelmaan seuraavat kohdat: organisaatiosi tietoturvallisuuden hallinnon järjestelyt, tietojen käsittely- ja käytön valvontamenettelyt, laitteistojen sekä järjestelmien hankintojen tietoturvallisuuden näkökohdat, toiminnan jatkuvuuden varmistamisen ja tietoturvasuunnitelman ylläpito. Tietoturvasuunnitelmaan on myös kirjattava, miten organisaatiossasi käsitellään tietoa, tiedon luottamuksellisuusluokat sekä kuvaus miten henkilöstö on perehdytetty organisaation tietoturvaan. Atean Pro Tip: Kartoita ja arvio organisaatiosi tietoturvallisuusuhka ympäristö. Päivitä tietoturvasuunnitelma vuositasolla uusien riskien havaitsemisen ja muodostumisen vuoksi.

Kirjoittajasta Markus Heinonen Senior Advisor Consultant, Atea Finland Oy markus.heinonen@atea.fi Markus Heinonen toimii Ateassa seniorikonsulttina erikoisalueinaan tietoturva ja strategiset hankkeet. Markus on työskennellyt perustietotekniikan, tietoliikenteen suunnittelun, palvelukehityksen ja liiketoiminnan kehitystehtävissä yli 20 vuotta. Tietoturvaprojekteissa tai it-strategian laatimisessa on aina lähdettävä liiketoiminnan vaatimuksista. Strategiatyön kaksi tärkeintä työvaihetta on aloittaminen ja jatkaminen: se ei saa jäädä kertaluontoiseksi dokumentointiprojektiksi. Ota yhteyttä

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute