RAKENNUSTEN DIGITURVALLISUUS- OHJEISTO. Tietosuojaan ja turvaan sekä kyberturvallisuuteen liittyvät ohjeet rakennuksen elinkaaren ajalle

Samankaltaiset tiedostot
RAKENNUSTEN DIGITURVALLISUUS- OHJEISTO. Tietosuojaan ja turvaan sekä kyberturvallisuuteen liittyvät ohjeet rakennuksen elinkaaren ajalle

Koulutuskiertue

EPT:N LUOTTISHOMMAT JA TIETOSUOJA-ASETUS. Tiivistelmä EPT:n luottiksille

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

EPT:N LUOTTISHOMMAT JA TIETOSUOJA-ASETUS. Tiivistelmä EPT:n luottiksille Päivitetty

Informaatiovelvoite ja tietosuojaperiaate

TOIMITILATURVALLISUUS T Tilojen tärkeysluokittelu. Harri Koskenranta

Toimistot Tuotantotilat Varastot Arkistot ATK Kiinteistötekniiikka Valvomot Postitus jne.

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Haminan tietosuojapolitiikka

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Rekisteri- ja tietosuojaseloste

Henkilötietosuoja ja tiekunta. Nina Raitanen 2018

Vaikutustenarviointi GDPR:n mukaan

Eläketurvakeskuksen tietosuojapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Rekisteri- ja tietosuojaseloste

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Tietosuojaseloste: Markkinointirekisteri

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

Rekisteri- ja tietosuojaseloste

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Sisäilmapaja Nurmes Pohjois-Karjalan tulevaisuusrahasto

Tietosuojaseloste Espoon kaupunki

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Tietosuojaseloste Espoon kaupunki

Tietosuoja-asetus (GDPR)

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Oulun Maanmittauskerho ry. Tietosuojaseloste

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

siniset tarkoittavat linkkejä

Tampereen Aikidoseura Nozomi ry

Tietosuojaseloste 1 (5)

Tiedon elinkaaren hallinta Henkilötietojen suoja

2. Rekisterinpitäjän edustajat Vastuuhenkilö: Nimi: maankäyttöpäällikkö

Varustekorttirekisteri - Tietosuojaseloste

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere

GDPR-pikaopas. Demand more. Puh

EU-tietosuoja-asetus Vaikutukset korkeakoulun IT:n näkökulmasta Case Laurea

Laajarunkoisten rakennusten rakenteellisen turvallisuuden arviointi

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste: Tehy jäsenrekisteri

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (6)

Rekisteri- ja tietosuojaseloste

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

KOODIVIIDAKKO OY:N PALVELUITA KOSKEVAT HENKILÖTIETOJEN KÄSITTELYN YLEISET EHDOT

Liana Technologiesin palveluita koskevat henkilötietojen käsittelyn yleiset ehdot

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (6)

REKISTERÖIDYN TIEDONSAANTIOIKEUDET HENKILÖTIETOLAIN MUKAAN

Tietosuojaseloste. Trimedia Oy

Pilvipalveluiden arvioinnin haasteet

Kangasalan Moottorikerhon tietosuojakäytännöt

UUDET KH-OHJEET MÄÄRITTÄVÄT HYVÄN KUNTOARVIOTAVAN

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

ENERGIA ILTA IISOY / Scandic Station

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

EU:n tietosuoja-asetus 2016

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Asiakaskilpailuja koskeva tietosuojaseloste

Tietosuojavaltuutetun toimiston tietoisku

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

Salon kaupunki , 1820/ /2018

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja Huippupaikat Oy:n asiakasrekisterissä tapahtuvasta henkilötietojen käsittelystä

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Lausunto Julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta pyydämme yleisesti huomioimaan seuraavaa:

METANOIA INSITITUUTTI OY TIETOSUOJAREKISTERISELOSTE

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Salon kaupunki , 1820/ /2018

Harri Koskenranta

Tietosuojaseloste 1 (5)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Suomen Dartsliitto

Verkkosivujen palautelomakkeen käsittelyä koskeva tietosuojaseloste

Salon kaupunki / /2018

Miten tietosuoja-asetuksen soveltamisen osalta on edetty? Havaintoja ja parhaita käytäntöjä-

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Sosiaali- ja terveysministeriö. Potilas- ja asiakasturvallisuusstrategia Tiivistelmä taustasta sekä tavoitetilasta vuoteen 2021 mennessä

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Salon kaupunki / /2018

Tietosuojaseloste. Henkilötietolaki (523/1999) 10 ja 24, EU:n yleinen tietosuoja-asetus (679/2016) 12 ja 13 artikla. Urho Tuominen -konserni:

Sisällönhallinta, esteettämyys, henkilötiedot,

Transkriptio:

RAKENNUSTEN DIGITURVALLISUUS- OHJEISTO Tietosuojaan ja turvaan sekä kyberturvallisuuteen liittyvät ohjeet rakennuksen elinkaaren ajalle

Tieto- ja kyberturvallisuuden sekä hybridiuhkien suhde. (Rousku: Turvasatama 2017) MÄÄRIT- TELYJÄ Digiturvallisuus on digitaalisessa muodossa olevien tietojen ja niiden käsittelemisen, siirtämisen ja säilyttämisen turvallisuudesta varmistumista. Digiturvallisuudella vaikutetaan myös fyysisen ympäristön turvallisuuden toteutumiseen.

Rakennusten digiturvallisuuden kohentaminen ohjeistamalla kaikkia rakennuksen elinkaaren aikaisia toimijoita Rakennustiedon ja Sähköinfon julkaisuilla. Kolme toisiinsa liittyvää ohjetta: Tilaajan ohje rakennushankkeeseen ryhtyvälle ja sen tilaajalle tavoiteasettelun tueksi. Suunnittelijan ohje eri suunnittelualueiden ja -vaiheiden tueksi. Kiinteistönpidon ohje kiinteistöhallinnon, -liiketoiminnan ja ylläpidon tueksi. Muita ohjeita, joihin pitäisi tehdä vastaavia tarkennuksia ovat (ainakin) HJR18 ja TATE18 tehtäväluettelot sekä TalotekniikkaRYL ja KiinteistöRYL. TAVOITE

Tilaajan odotetaan ottavan kantaa rakennuksen digiturvallisuuteen ja määrittävän kiinteistölle tai sen osille suojauksen tasot (DT1 4) suunniteltujen käyttötarkoitusten mukaisesti. (HJR19?) Suunnittelijoiden tehtävänä on löytää ne tekniset ja toiminnalliset ratkaisut, jotka mahdollistavat tavoitellun toiminnallisuuden ja suojauksen tasot valitulla elinkaaren jaksolla huomioiden järjestelmien ja komponenttien tyypilliset kestoiät. (TATE19?) Kiinteistönpidossa on ylläpidettävä määritettyjä suojaustasoja kunnossapidon ja kiinteistönhoidon toimin huolehtimalla laitteiden ja järjestelmien sekä kiinteistönhoitohenkilöstön osaamisen ajantasaisuudesta ja noudattamalla tietosuojassa ja turvallisuudessa rakennuksen käyttö- ja huolto-ohjeessa sekä poikkeus- ja häiriötilanneohjeessa annettuja ohjeita. VASTUUNJAOSTA

Digiturvallisuus on huomioitava kaikissa järjestelmissä. Digiturvallisuus työllistää eniten automaatio- ja sähkösuunnittelua. Vähänkin laajemmissa hankkeissa on syytä nimetä järjestelmäintegraattori sekä suunnittelu-, että toteutusvaiheisiin (sama voisi olla ihan hyvä). LVI-suunnittelijalla on eniten tehtävissä kybervaikutuksilta suojauduttaessa. SUUNNITTELUSTA

Kybervaikuttamisella voi olla eri tavoitteita yleisen häiriön aiheuttamisesta taloudellisia menetyksiä aiheuttaviin laiterikkoihin tai energian käyttöön. Omavoimaiset säätimet ja moottorien suorat sähkökäytöt ovat kybervaikuttamiselta suojassa. Rakennus-, kiinteistö- tai talo-/kotiautomaation pidempikestoisissa häiriötilanteissa sen ohjaamien venttiilien ohituksella, käsisäädöllä tai omavoimaisella säädöllä sekä moottoreiden suoralla käytöllä voidaan todennäköisesti saavuttaa ja ylläpitää toiminnan jatkamisen kannalta siedettävät olosuhteet. Toiminta häiriö- ja poikkeustilanteissa on suunniteltava, dokumentoitava ja oltava harjoiteltavissa sekä asuinrakennuksissa opastettavissa myös lähes maallikolle. KYBERVAIKUTTAMISESTA

Kerrostalon lämmönsäätöautomatiikka kaapattiin osaksi bottiverkkoa, jonka DDoS hyökkäys kolmatta osapuolta vastaan lamautti säätimen. Suojaamattomien rakennusautomaatioiden 4G liittymiä käytettiin maksullisten SMS-viestien lähettelyyn palvelunumeroihin. Älykodin lukitus oli avattavissa puheohjauksella, johon tarvittavan lauseen toistamalla kuka tahansa sai ovet auki. Etähallittavan lämpötila-anturin kautta pääsi kasinon tietojärjestelmään. ESIMERKKEJÄ

Suojaustasojen määrittelyllä pyritään helpottamaan niin tilaajan, suunnittelijan kuin loppukäyttäjän mahdollisuuksia hahmottaa digiturvallisuutta ilman melko raskasta riskianalyysiä. Neliportainen suojauksen tasoluokittelu perustuu ST-korteissa ST 603.16 -.18 esitettyyn ja siinä on hyödynnetty ST-kortin 710.02 Sähköja tietoteknisten järjestelmien tietoturva ja ASIS raportin FDN-BMS- 2017 suosituksia. DT1 on suojauksen perustaso, jonka vaatimukset esim. asuinkiinteistön tulisi täyttää. Rajoittaa kuitenkin jo melko hyvin digiturvariskejä. DT2 on hieman perustasosta kovennettu, ja soveltuu useimpien toimitilojen vaatimuksiksi huomioiden liiketoiminnan jatkuvuuden vaatimukset paremmin kuin DT1. DT3 on jo melko vaativiin, kuten esim. terveydenhuollon kohteisiin tarkoitettu, mutta ei vielä täyttä suojaa tarjoava. DT4 vaatimusten mukaisia kohteita on jo melko vähän ja tähtää täyteen suojaukseen talotekniikkaan kohdistuvien digiturvallisuusriskien vaikutuksilta. SUOJAUSTASOT DT1 4

Digiturvallisuuden eri osa-alueille on määritetty omat vaatimukset suojaustasoittain. Osa-alueita ovat hallinnolliset toimet henkilöstöturvallisuus fyysinen turvallisuus digiturvallisuus poikkeustilanteiden hallinta jatkuvuuden hallinta ylläpito SUOJAUSTASOJEN OSA-ALUEET

Tähän tasoon kuuluvien kiinteistöjen ja rakennushankkeiden talotekniikan digiturvallisuuden toimenpiteet ovat yksinkertaisia ja niillä pyritään saamaan aikaan riittäväksi arvioitava turvallisuus kohteissa, joiden turvallisuuden suhteen ei erityisiä vaatimuksia ole esitetty. Perussuojaus on alkuinvestoinneiltaan edullinen. Normaaleilla rakenteellisilla ratkaisuilla pyritään saamaan riittävä kokonaisturvallisuus. Suojaukseen liittyvät hallinnolliset toimet ovat normaaleja, hyviin toimintatapoihin perustuvia ja kohteeseen soveltuvia. Käyttäjien tunnistus, tiedonsiirron salaus ja pääsyoikeuksien hallinta toteutetaan tavanomaisin ohjelmallisin ratkaisuin. Poikkeus- ja häiriötilanteiden hallintaan ja niistä palautumiseen on selkeät ohjeet. PERUSSUOJAUS (DT1) MATALILLE RISKEILLE

Tähän tasoon kuuluvien kohteiden talotekniikan digiturvallisuutta on tehostettu perussuojausta vahvistamalla. Turvanäkökohdat huomioidaan perusteellisemmin. Tämän tason kohteissa digiturvateknisten ratkaisujen alkuinvestointikustannus on suurempi kuin perussuojauksessa, mutta tehostettu perussuojaus antaa kustannussäästöjä kohonneen turvatason, muunneltavuuden ja luotettavuuden osalta. Edellisen lisäksi Käytetään valvontalaitteita ja henkilöllistä valvontaa. Riskien vaikuttavuutta hallitaan mm. järjestelmien sisäisten ja välisten verkostojen fyysisellä ja loogisella topologialla sekä pääsyoikeuksien hallinnalla. Poikkeus- ja häiriötilanteiden hallintaan ja niistä palautumiseen on selkeät menettelyt ja järjestelyt. TEHOSTETTU PERUSSUOJAUS (DT2) KOHTALAISILLE RISKEILLE

Tämän tason hankkeille on ominaista digiturvallisuuden olennainen osuus kohteen talotekniikan toteutuksessa. Toimenpiteet vaativat digiturvallisuuden erityistä huomiointia jo hankesuunnitteluvaiheessa. Kustannusvaikutukset sekä tekniikan aiheuttamat välilliset vaikutukset on hyväksytty hankeohjelmavaiheessa. Sovellettuna tämä taso toimii vaihtoehtona sellaisissa hankkeissa, joissa täyssuojaukseen ei kiinteistön erityisominaisuuksien tai muiden syiden vuoksi voida päästä. Edellisen lisäksi Valvontaan ja suojaukseen käytetään merkittävästi turvallisuustekniikkaa ja rakenteellisia suojausratkaisuja. Käyttäjien tunnistus, tiedonsiirron salaus ja pääsyoikeuksien hallinta toteutetaan tehostetuin ratkaisuin. Poikkeus- ja häiriötilanteiden hallintaa varten tärkeimmät järjestelmät on varmistettu ja palautumiseen on selkeät menettelyt ja järjestelyt ml. ohjeet harjoitteluun. ERITYISSUOJAUS (DT3) KORKEILLE RISKEILLE

Täyssuojausta edellyttäviin hankkeisiin sisältyy laajamittaisia talotekniikan digiturvallisuusvaatimuksia ja ne kuuluvat hankkeeseen olennaisesti. Tämän luokan toimenpiteet edellyttävät digiturvallisuuden ja sen eri elementtien korostettua huomioon ottamista ja digiturvallisuuden osuus hankkeesta on merkittävä. Suojaustoimien alkuinvestointikustannukset ovat merkittävät: tilaajalle on voitava tarjota riittävästi ratkaisuvaihtoehtoja kustannustietoineen lopullista toteutustavan valintaa varten. Edellisen lisäksi Valvontaan ja suojaukseen käytetään paljon turvallisuustekniikkaa ja rakenteellisia erikoissuojausratkaisuja. Poikkeus- ja häiriötilanteiden hallintaa varten kriittiset järjestelmät on varmennettu ja tärkeimmät järjestelmät voidaan siirtää manuaaliohjaukselle. Tilanteen mukaiseen toimintaan ja palautumiseen on selkeät menettelyt ja järjestelyt ja niitä harjoitellaan säännöllisesti. TÄYSSUOJAUS (DT4) KRIITTISILLE RISKEILLE

Tietosuoja liittyy oleellisesti henkilötietojen käsittelyyn. Henkilötietoja ovat kaikki tiedot, jotka liittyvät tai ovat yhdistettävissä tunnistettuun tai tunnistettavissa olevaan henkilöön. Kiinteistönpidossa voidaan mitata monia huoneiston, huoneen tai tilan kulutus- ja olosuhdetietoja, jotka sinällään eivät ole henkilötietoja. Mutta kun ao. tila yhdistetään tai on yhdistettävissä esim. asukasluettelon, yrittäjän vuokrasopimuksen tms. avulla henkilöön, niin mittaustieto onkin henkilötietoa, jonka käsittelyssä on noudatettava tietosuojalainsäädännön mukaisia tietosuojaperiaatteita, joiden mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi käsiteltävä luottamuksellisesti ja turvallisesti kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden päivitettävä aina tarvittaessa epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten TIETOSUOJASTA #1

Tietosuojaan on suhtauduttava vakavasti jo senkin vuoksi, että siihen liittyvän säännöstön noudattamatta jättämisestä voidaan tuomita kohtalaisiin rangaistuksiin ja taloudellisiin menetyksiin. Tietosuojaperiaatteiden noudattaminen ei kuitenkaan ole mitenkään ylivoimainen vaatimus, eikä siihen tarvita mitään erikoisjärjestelmiä tai -palveluita. Hyviä ohjeita on saatavilla mm. tietosuojavaltuutetun toimiston verkkosivuilta (tietosuoja.fi), Kiinteistöliitosta ja esim. Opsec Oy:n julkaisusta Tietosuojaopas pienille yrityksille, joka on vapaasti ladattavissa. Rakennusten digiturvaohjeen liitteenä on malli menettelystä, jonka mukaisesti toimien kiinteistön omistaja voi osoittaa toimineensa tietosuoja-asetuksen mukaisesti, mikäli kiinteistöstä kerätään mittaustietoja kiinteistönpidon tarpeisiin. Ohje laaditaan yhteistyössä Kiinteistöliiton ja tietosuojavaltuutetun toimiston kanssa, mutta oikeustapausten puuttuessa se ei perustu mihinkään oikeudessa punnittuihin käytänteisiin tms. TIETOSUOJASTA #2

Lisätietoja antavat: Antti Nyqvist, valmiuspäällikkö, Digipooli, Teknologiateollisuus ry antti.nyqvist@teknologiateollisuus.fi 040 861 9446 Ilkka Friman, tuotepäällikkö, Rakennustieto Oy ilkka.friman@rakennustieto.fi 0207 476 424 Ari Järvinen, KyberGuide ari.jarvinen@eou-palvelut.fi 040 736 4253 KIITOS

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute