JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE TYÖPAJA #3 KE 12.6.2019 JUDO-NETTILÄHETYS ALUEPISTEET HANNA HEIKKINEN KIRSI JANHUNEN ERJA KINNUNEN JUHA KIRVES LAURA PENTTILÄ KIMMO ROUSKU
Työpaja #3 12.6.2019 - ohjelma 9.00 Digiturvan yhteishanke ajankohtaista hankkeessa ja digimaailmassa - Kysymyksiä ja palautetta edellisestä työpajasta 6.5.2019 VAHTI-pääsihteeri Kimmo Rousku, Väestörekisterikeskus 9.15 Riskienhallinta Valtiovarain controller toiminto riskienhallinnan kehittäjänä Valtioneuvoston apulaiscontroller Esko Mustonen, valtiovarainministeriö - keskustelu riskienhallintapolitiikkaan liittyen 10.00 Case riskienhallinta toimintamallit ja case-esimerkit sekä verkkokeskustelut Asiantuntija Juha Kirves, Väestörekisterikeskus Tietoturva-asiantuntija Antti Ahokas, Väestörekisterikeskus 10.45 Tauko 11.00 Edelliset aiheet jatkuvat 12.00 Lounastauko (omakustanteinen)
12.45 Toiminnan jatkuvuus ja varautuminen VAHTI-pääsihteeri Kimmo Rousku, Väestörekisterikeskus Toiminnan kriittisyyden arviointi Johdatus: - jatkuvuussuunnittelu ja suunnitelmat - valmiussuunnittelu ja suunnitelmat - toipumissuunnittelu ja suunnitelmat - mallipohjien hyödyntäminen - häiriö- ja kriisiviestintä - BIA-työkalu ja arviointi 14.15 Kahvitauko 14.30 Case VRK palveluiden kriittisyyden arviointi ja jatkuvuuden hallinta Tietoturva-asiantuntija Antti Ahokas, Väestörekisterikeskus
Parhaat käytännöt: Riskienhallintatyöpajan toteuttaminen sekä muita hyviä riskienhallinnan käytäntöjä Konsultti Arto Kangas, Netum Oy TAISTO19-harjoitus kutsu harjoitukseen sekä kuinka siihen tulee valmistautua? VAHTI-pääsihteeri Kimmo Rousku, Väestörekisterikeskus 16.00 Yhteenveto ja miten jatkatte näiden osa-alueiden kehittämistä organisaatiossanne? 16.10 Tilaisuus päättyy
Tervetuloa! DIGITURVAN YHTEISHANKE PALAUTE AJANKOHTAISTA HANKKEESSA JA DIGIMAAILMASSA
Palautetta 6.5. työpajasta 70% verkon välityksellä Verkon kautta katselleet kuva ääni katselukokemus 4.4 4.4 = 4.4 KA Aluetilaisuudet 4.2 3.0 = 4.0 KA
Keskiarvo 4,3
Toiveita Kyberturvallisuus Parempi ääni aluepisteissä CRM-rekistereiden tietosuojakäytänteet Esimerkki oikeasta järjestelmästä Tietoturvallisuuden arviointi Johdon vastuu Tiedonhallintalain tuomat vaatimukset kuntien tietoturvatyölle Tietosuojan vaikutustenarvioinnit, Hallinnon roolista kaikissa näissä kysymyksissä siis ketkä kuuluu esim. kunnan "JUDO-tiimiin". Toiminnan jatkuvuus ja varautuminen voisi seuraavalla kerralla painopiste.
Muuta palautetta Tämä on hyvä tapa tuoda tietoa ja oppia laajalle alueelle koko Suomeen, kiitos siitä teille kaikille. Voimme osallistua myös täältä kauempaa näihin työpajoihin ja työnantajankin tykkää ja antaa meidän osallistua, pienet kustannukset ja hyvää koulutusta. Satsa på översättningar till svenska Verkon kautta seuraaminen onnistuu mainiosti. Ainoa miinus siitä, että paikalla olevan yleisön kommentit ja kysymykset eivät kuuluneet. Ne olisi syytä esittää mikrofoniin tai vähintäänkin toistaa. Tulevaisuudessa mahdollisille ryhmätehtäville olisi hyvä varata enemmän aikaa.
Ajankohtaista
Kevennys Mikä on pisin aika, jonka jokin verkkorikollinen tai muu toimija on viettänyt aikaa organisaatiossa?
JUDO
https://www.hankintailmoitukset.fi/fi/notice/view/2019-012864
VAHTI-kesäseminaari ma 26.8.2019 Fyysinen seminaari OPH-talo, mutta myös verkkolähetys Aamupäivä: ENISA ega Virosta Jarno Limnéll Iltapäivä JUDO-kuulumiset Pilvi, pilvi ja pilvi sekä tiedonhallintalaki Ilmoittautuminen käynnistyy ellei loppuviikko niin heti ensi viikon alusta
Miten toteutamme tätä yhteishanketta?
Digiturvaopas - Päivittyvä dokumentti sisältää kokonaisuuteen liittyvän teoriaosuuden myös yhteishankkeen toteutuksen osalta Digiturvan projektiopas - Päivittyvä dokumentti - miten organisaatiosi tulisi kehittää digiturvan eri osa-alueita - Sisältää ohjeiden, esimerkkien ja hyvien käytäntöjen ohella muuta tukimateriaalia digiturvan kehittämiseksi Digiturvan yhteishanke - digiturvallisuuden kehittäminen VAHTI 100 soveltamis- ja arviointikehikko Tietoturvallisuuden kehittäminen tapahtuu VAHTI 100- kehikon avulla TAISTO-harjoitukset - Vuosittaiset harjoitukset, joiden avulla organisaatio voi varmistaa kehittämiensä prosessien toimivuuden sekä tunnistaa kehittämiskohteita TAISTO-harjoituskäsikirjat julkaistaan erillisinä materiaaleina osana yhteishanketta
Digiturvaopas PÄIVITTYVÄ OPAS, JOSSA KERROTAAN, MISTÄ DIGITURVASSA ON KYSE JULKAISTU TYÖPAJAN MATERIAALEISSA 12.6.2019
Digiturvallisuus projektiopas PÄIVITTYVÄ, KÄYTÄNNÖNLÄHEINEN OPAS DIGITURVAN ERI OSA-ALUEISIIN JULKAISTU TYÖPAJAN MATERIAALEISSA 12.6.2019
9.15 Valtiovarain controller toiminto riskienhallinnan kehittäjänä Valtioneuvoston apulaiscontroller Esko Mustonen, valtiovarainministeriö
10.00 Case riskienhallinta toimintamallit ja caseesimerkit sekä verkkokeskustelut Asiantuntija Juha Kirves, Väestörekisterikeskus Tietoturva-asiantuntija Antti Ahokas, Väestörekisterikeskus
JUDO, PROJEKTI 1: CASE RISKIENHALLINTA TOIMINTAMALLIT JA CASE-ESIMERKIT SEKÄ VERKKOKESKUSTELUT JUHA KIRVES & ANTTI AHOKAS
Sisältö Riskienhallinta Mitä riski ja riskinhallinta ovat? Riskienhallinnan prosessi Toimintaympäristön tunteminen Sisäinen ja ulkoinen toimintaympäristö Suojattavien kohteiden tunnistaminen Riskienhallinnan kriteeristö Riskienhallinnan resurssit ja rajoitteet Riskiarvio Riskien tunnistaminen Uhkien tunnistaminen Haavoittuvuuksien tunnistaminen Hallintakeinojen tunnistaminen Seurausten tunnistaminen Riskianalyysi Riskintodennäköisyyden arviointi Riskinmerkityksen arviointi Riskin käsittely Seuranta & viestintä Digiturvakulttuurin merkitys
Osallistu tehtäviin. Siirry www.menti.com ja käytä koodia 75 54 42.
Mikä on riski? Riskillä tarkoitetaan epävarmuuden vaikutusta tavoitteisiin, poikkeamaa odotetusta; vaikutus voi olla myönteinen tai kielteinen odotettuun verrattuna Riski voi olla mahdollisuus eli riskin ottaminen voi mahdollistaa haluttuun tavoitteesen pääsemisen odotettua aikaisemmin Riski koostuu vahingollisen tapahtuman todennäköisyydestä ja vaikutuksista. Matemaattinen määritelmä (Riski = tapahtuman todennäköisyys * tapahtuman vaikutukset
Mitä on riskienhallinta? Riskienhallinta tarkoittaa koordinoitua toimintaa, jolla organisaatiota johdetaan ja ohjataan riskien osalta. Riskienhallinta on prosessi, jossa tunnistetaan haavoittuvuuksia ja uhkia niihin informaatiovaroihin liittyen, jotka mahdollistavat yrityksen liiketoiminnan tavoitteisiin pääsemisen. Tässä prosessissa päätetään myös, mitä vastatoimia organisaatio tekee riskin pienentämiseksi hyväksyttävälle tasolle organisaation informaatiovaroihin nähden. (CISA Review Manual 2006) Riskinhallintaa toteutetaan usein riskinhallintatyöpajan avulla, jonka toteutustapa ja laajuus vaihtelee tarpeen mukaan.
Uhka ja haavoittuvuus Uhka on olosuhde tai tapahtuma, joka voi aiheuttaa vahinkoa kohteessa. Uhkalla harvoin on organisaation tavoitteisiin nähden positiivisia vaikutuksia. Haavoittuvuus alttius digiturvaan kohdistuville uhkille Haavoittuvuus voi olla mikä tahansa heikkous, joka mahdollistaa vahingon toteutumisen tai jota voidaan käyttää vahingon aiheuttamisessa. Haavoittuvuuksia voi olla tietojärjestelmissä, prosesseissa ja ihmisen toiminnassa.
Tehtävä 1a) Erota uhka, haavoittuvuus, riski ja seuraus toisistaan Siirry www.menti.com ja käytä koodia 75 54 42 On viikonloppu. Tavoitteenasi on lähteä rentouttavalle retkelle ja näin valmistautua tärkeään tapaamiseen. Sinun on pidettävä tärkeä esitys johdolle maanantaina, joten sinun tulee suojella terveyttäsi. Mikä seuraavista on uhka? a) Sadevaatteiden unohtaminen kotiin b) Sairastuminen ja tärkeän tapaamiseen peruuntuminen c) Vesisade d) Vaatteiden kastuminen
Tehtävä 1b) Erota uhka, haavoittuvuus, riski ja seuraus toisistaan On viikonloppu. Tavoitteenasi on lähteä rentouttavalle retkelle ja näin valmistautua tärkeään tapaamiseen. Sinun on pidettävä tärkeä esitys johdolle maanantaina, joten sinun tulee suojella terveyttäsi. Mikä seuraavista on haavoittuvuus? a) Sadevaatteiden unohtaminen kotiin b) Sairastuminen ja tärkeän tapaamisen peruuntuminen c) Vesisade d) Vaatteiden kastuminen
Tehtävä 1c) Erota uhka, haavoittuvuus, riski ja seuraus toisistaan On viikonloppu. Tavoitteenasi on lähteä rentouttavalle retkelle ja näin valmistautua tärkeään tapaamiseen. Sinun on pidettävä tärkeä esitys johdolle maanantaina, joten sinun tulee suojella terveyttäsi. Mikä seuraavista on riski? a) Sadevaatteiden unohtaminen kotiin b) Sairastuminen ja tärkeän tapaamisen peruuntuminen c) Vesisade d) Vaatteiden kastuminen
Tehtävä 1d) Erota uhka, haavoittuvuus, riski ja seuraus toisistaan On viikonloppu. Tavoitteenasi on lähteä rentouttavalle retkelle ja näin valmistautua tärkeään tapaamiseen. Sinun on pidettävä tärkeä esitys johdolle maanantaina, joten sinun tulee suojella terveyttäsi. Mikä seuraavista on seuraus? a) Sadevaatteiden unohtaminen kotiin b) Sairastuminen ja tärkeän tapaamisen peruuntuminen c) Vesisade d) Vaatteiden kastuminen
Riskienhallinnan roolit Riskinhallinnan vastuuhenkilö esimerkiksi riskienhallintapäällikkö Suojattavien kohteiden omistajat (omistaa kohteisiin liittyvät riskit) Toimenpiteiden (kontrollit) vastuuhenkilöt RACI-malli soveltuu hyvin vastuiden jakamiseen!
Riskinhallintaan liittyviä käsitteitä Kontrolli = hallintakeino = Menettely tai tekninen ratkaisu, jolla riskin vaikutusta tai todennäköisyyttä pyritään pienentämään. Kontrollien asettaminen yleensä maksaa. Harvoin on järkevää asettaa kontrolli, jos sen asettaminen maksaa enemmän kuin toteutuneesta riskistä aiheutuvat kustannukset. Kontrollit jaetaan yleensä hallinnollisiin, teknisiin ja fyysisiin Jäännösriski = Riski, joka jää jäljelle kontrollin asettamisen jälkeen. Riskin sietokyky = Millaiset menetykset ollaan valmiita sietämään riskin toteutuessa. Riskinottohalu = Riskin määrä ja tyyppi, jotka organisaatio on valmis ottamaan.
Riskienhallinnan prosessi (ISO 31000) V i e s t i n t ä Toimintaympäristön määritteleminen Riskin arviointi Riskin tunnistaminen Riskianalyysi Riskin merkityksen arviointi S e u r a n t a Riskin käsittely
Toimintaympäristön tunteminen laki politiikka Ulkoinen toimintaympäristö Sisäinen toimintaympäristö päätöksentekoprosessi Kulttuuri Asiakkaat Ulkoiset sidosryhmät viranomaissäädökset organisatiokulttuuri tietojärjestelmät roolit hallintotapa strategia organisaatiorakenne resurssit Liiketoiminta -ajatus vastuut resurssit
Toimintaympäristön tunteminen Riskinarvioinnin kriteerit Kriteerit määritetään niin, että ne tukevat organisaation tavoitteisiin pääsemistä Riskin merkityksen arviointikriteerit (Risk evalution criteria) Minkä tasoinen riski voidaan sietää? (Vaikutuksen ja todennäköisyyden tulo). Käytetään riskinmerkityksen arviointivaiheessa päätöksen tekoon riskin hyväksymisestä. Vaikutusten kriteerit (Impact criteria) Millä perustein organisaatio jakaa vaikutukset luokkiin? Määritetään riskianalyysivaiheen vaikutusten luokat Tärkeisiin asiakkaisiin, organisaation lakisääteisiin tehtäviin kohdistuvat, sopimusten rikkomisen tai maineen menettämisen aiheuttavat vaikutukset tulee arvioida suurimmiksi. Vaikutusten laajuus on huomioitava (Kohdistuuko vaikutukset yhteen asiakkaaseen vai kaikkiin) Riskin hyväksymisen kriteerit (Risk acceptance criteria) Millä perusteella riskejä voidaan hyväksyä? Jos riskin toteutuminen aiheuttaa lain rikkomisen tai ihmishenkien menetyksiä, sitä on vaikeampi hyväksyä verrattuna siihen, että esimerkiksi sopimus rikkoutuisi. Kun riskin poistaminen tai pienentäminen maksaa enemmän kuin toteutumisesta aiheutuvat seuraukset, se yleensä kannattaa hyväksyä.
Toimintaympäristön tunteminen - Riskinhallinnan rajoitteet ja laajuus Kuvataan organisaation digiturvallisuuden suunnittelemiseen vaikuttavat rajoitukset Vallitseva lainsäädäntö Digiturvallisuuden suunnitteluun käytössä oleva budjetti ja aika Käytössä olevien teknisten ratkaisut Organisaatiokulttuuri jne. Kuvataan laajuus, jotka kuuluvat organisaation riskienhallinnan piiriin Organisaation toiminnot, yksiköt, tehtävät jne.
Toimintaympäristön tunteminen Sisäinen toimintaympäristö Kriittisten prosessien tunnistaminen sekä niiden toiminnan ja sisällön tuntemus on riskienhallinnan ja jatkuvuussuunnittelun onnistumisen kannalta erittäin tärkeää. Tavoitteena on turvata organisaation kriittisten prosessien toiminta erilaisissa vakavissa häiriötilanteissa. Ilman kriittisten prosessien tuntemusta saatetaan keskittyä turvaamaan vääriä asioita tai oikeita asioita väärällä tavalla. Organisaation kriittisten toimintojen ja palveluiden arvioinnissa apuvälineenä voi käyttää Excel-työvälinettä Palveluiden kriittisyysluokittelutyökalu (Palko), jonka käyttöä opastettiin 6.5.2019. Linkki tallenteeseen ja materiaaleihin.
Toimintaympäristön tunteminen Sisäinen toimintaympäristö Organisaation kriittisten toimintojen ja palveluiden tunnistaminen Suojattava kohde yhteiskunnan tai organisaation toiminnan kannalta merkityksellinen kohde, joka halutaan suojata riskien varalta Aloitetaan tarkastelu ylätasolta ja pyritään riittävään tarkkuuteen Ensisijaiset suojattavat kohteet Liiketoimintaprosessit ja liiketoiminnot Tieto Ensisijaisia kohteita tukevat suojattavat kohteet Ohjelmistot ja palvelut Tietoliikenneverkot henkilo sto toimipaikka organisaation rakenne
Muita suojattavien kohteiden luokittelutapoja Ihmiset, prosessit ja tuotteet (People, processesses, products) Toteutustavat riippuvat organisaatiosta: Miellekartat, vikapuulistat, tarkistuslistat ja jne. Suojattava kohde Ensisijainen suojattava kohde Tieto Liiketoimintaprosessit Asiakastiedot Myynti Ensisijaista tukeva suojattava kohde Asiakkuudenhallintajärjestelmä Palvelin Varmuuskopio
Suojattavien kohteiden tyyppejä Informaatio: tiedostot, tietokannat, sopimukset, ohjekirjat, koulutusmateriaali, järjestelmien dokumentaatio Ohjelmistopohjaiset (software) Sovellukset, kehitystyökalut, käyttöjärjestelmät Fyysiset kohteet: Tietokonelaitteistot, viestintälaitteistot, lämmitys, tiedon tallennus ja varmistuslaitteistot Palvelut: Viestintäpalvelut, verkkopalvelut, lämmitys, valaistus, virta, ilmanvaihto
Suojattavan kohteen arvon määritys (Raggad 2010, 78-79) Arvo voidaan määrittää kvantitatiivisin tai kvalitatiivisin keinoin. Arvon määrityksen kriteereinä voivat olla alkupera iset kustannukset, korvaamiskustannukset, suojattavan kohteen organisaation mahdollisen maineen menetyksen arvioidut kustannukset. Määritetään asteikko arvon määritykselle (esim. matala 1-5 erittäin korkea). Arvon määrityksessä on otetaan huomioon liiketoimintaprosessien riippuvuudet suojattavasta kohteesta. Vaikutuksen arviointi Huomioidaan suojattavan kohteen menetyksen aiheuttamat suorat ja epäsuorat vaikutukset Suorat vaikutukset ( esim. kohteen korvaamisesta tai korjaamisesta aiheutuvat kustannukset) Epäsuorat vaikutukset ( Organisaation keskeytyneistä toiminnoista aiheutuvat kustannukset, lakien rikkominen, sopimusten rikkominen)
Tehtävä 2 ) Suojattavan kohteen tunnistaminen Siirry www.menti.com ja käytä koodia 75 54 42 Kuvitteellisen Tyrskylän kunnan kirjaston yksi lakisääteisistä tehtävistä on tarjota pääsy aineistoihin, tietoon ja kulttuurisisältöihin. Valitse mielestäsi kolme tärkeintä suojattavaa kohdetta. Kirjaston toimitila Sähköposti Pikaviestin Puhelinjärjestelmät Kirjat Tietokannat Henkilöstö Kirjastojärjestelmä Kirjastojärjestelmän www-käyttöliittymä Sähkön jakelu
Uhkien tunnistaminen Mikä on uhka? Mikä tahansa olosuhde tai tapahtuma, joka voi aiheuttaa vahinkoa kohteessa. Uhkan lähdettä sanotaan juuriuhkaksi (root threat) esim. ukkosmyrsky. Juuriuhkasta aiheutuvaa uhkaa sanotaan toissijaiseksi uhkaksi (secondary threat) esim. tulipalo Uhkista saattaa aiheutua uusia uhkia (sähkökatkot) jne.
Uhkien luokittelua (Raggad 2010, 84) Uhkat Luonnolliset, E Ihmisen aiheuttamat, D & A D = Tahallinen A = Tahaton E = Luonnollinen Vahingot, A Tahalliset teot, D Inhimillinen virhe Vika ohjelmistossa (bugit) Vika laitteistossa Organisaation ulkopuoliset uhkatoimijat Työntekijä
Toimintamalleja uhkien tunnistamiseksi Tarkistuslistat Harkittava tarkasti, kattaako tarkistuslista oman toimialan tai yrityksen liiketoimintaan kohdistuvat uhkat. Vikapuuanalyysi Suojattava kohde Tieto Liiketoimintaprosessit Asiakastiedot Myynti Asiakkuudenhallintajärjestelmä Palvelin Varmuuskopio Vahinko Tiedot poistetaan vahingossa Uhkatyyppi Ympäristö Tahallinen Tulipalo Tietoja joutuvat vääriin käsiin
Tehtävä 3 Uhkien tunnistaminen Siirry www.menti.com ja käytä koodia 75 54 42 Kuvitteellisen Tyrskylän kunnan kirjaston suojattava kohde on kirjastojärjestelmä, jonka palvelimet sijaitsevat omissa tiloissa. Valitse kolme merkittävintä uhkaa. Fyysinen pääsy Tulipalo Sähkökatko Laitevika Haittaohjelma Palvelunestohyökkäys Henkilöstön inhimillinen virhe Ukkosmyrsky Tulva Helleaalto
Haavoittuvuuksien tunnistaminen Ylläpidetään listausta organisaatiota koskevista haavoittuvuuksista Haavoittuvuus on heikkous kohteessa, prosessissa, ohjelmistoissa, infrastruktuurissa tai henkilöstössä. Haavoittuvuus on alttius turvallisuutta uhkaaville tekijöille Esimerkkejä haavoittuvuuksista henkilöstö ei lukitse työasemiaan työasema jätetään vartiotta julkisessa kulkuvälineessä arkaluontoista tietoa käsitellään julkisella paikalla ilman näytönsuojaa. yrityksen avainhenkilöt käyttävät samaa kuljetusta liiketapaamiseen saapumiseen. salasanoja säilytetään salaamattomana web-palvelimella.
Tehtävä 4: Haavoittuvuuksien tunnistus Siirry www.menti.com ja käytä koodia 75 54 42 Kuvitteellisen Tyrskylän kunnan kirjaston suojattava kohde on kirjastojärjestelmä, jonka palvelimet sijaitsevat alihankkijan tiloissa. Uhkana on järjestelmään kohdistuva palvelunestohyökkäys. Valitse merkittävimmät haavoittuvuudet. Alihankkijan henkilöstöä ei ole ohjeistettu henkilötietojen käsittelystä. Alihankkijaa ei ole velvoitettu täyttämään tietosuoja-asetuksen vaatimia tietoturvatoimenpiteitä. Alihankkijan kanssa ei ole sovittu toimintatavoista tietosuojaloukkausten ilmoittamiseksi viranomaisille. Rekisteröityjen oikeuksien toteuttamisesta ei ole sovittu. Alihankkijan kanssa tehdyssä sopimuksessa ei velvoiteta henkilötietojen salassapitoa Palveluntarjoamisen päättymiseen liittyvistä toimenpiteistä ei ole sovittu.
Seurausten ja hallintakeinojen tunnistus Seurausten tunnistus Tunnistetaan mahdollisen riskin toteutumisen aiheuttavat seuraukset, jotka voivat olla rahalliset tappiot, maineen menettäminen, tavoitteeseen pääsyn epäonnistuminen, sopimusten rikkonen ja lain rikkominen Kontrollien eli hallintakeinojen tunnistus (Raggad 2010, 88) Listataan organisaation käytössä olevat riskinhallintakeinot ja testataan niiden toiminta. Arvioidaan käytössä olevien hallintakeinojen tehokkuutta riskien pienentämiseen. Arvioidaan uusien hallintakeinojen tarvetta.
Riskianalyysi (Risk analysis) Organisaatio päättää toimintaansa sopivamman analyysitavan! Laadullinen tapa Annetaan riskille laadullinen arvo, esimerkiksi pieni, keskitaso, suuri. Määrällinen tapa Annetaan riskille numeerinen arvo, esimerkiksi 1-5 Riskin todennäköisyyden arviointi Arvioi uhan toteutumiselle todennäköisyys Voidaan käyttää apuna historiatietoa. Riskin vaikutusten arviointi Arvioi uhan toteutumisen vaikutus, esimerkiksi Likertin asteikko (1 on vähäinen, 2 kohtalainen, 3 merkittävä, 4 vakava) Riskitason arviointi Arvioitu riski on on todennäköisyyden ja vaikutuksen tulo.
Riskin merkityksen arviointi Verrataan saatujen riskitasojen suuruutta riskin merkityksen arviointikriteereihin ja riskin hyväksymiskriteereihin ja päätetään riskin hyväksymisestä. 4 todennäköisyys 3 2 1 1 2 3 4 vaikutus
Riskin käsittely (Ilmonen & ym. 2013) Toimenpiteiden valinta, joiden avulla pyritään muuttamaan riskiä. Riskin poistaminen Poistetaan tai vaihdetaan toiseen se kohde, johon riski kohdistuu. Riskin pienentäminen Pienennetään riskin potentiaalisia vaikutuksia tai todennäköisyyttä kontrollin avulla. Riskin siirtäminen Siirretään riski toisen osapuolen kannettavaksi esimerkiksi ulkoistuksilla, sopimuksilla tai vakuutuksilla.
Esimerkki riskipäätöksistä Taso Kriittinen riski (riskiluku 9-16) Merkittävä riski (riskiluku 4-8) Kohtalainen riski (riskiluku 3-4) Matala riski (riskiluku 1-2) Käsittelyn tarve vaatii yleensä välittömiä toimia edellyttää jatkuvaa seurantaa tehtävä suunnitelma riskin pienentämiseksi seurattava ei välttämättä tarvita toimenteitä seurattava riskiä ja sen mahdollista kehittymistä ei vaadi akuutteja toimenpiteitä
Riskinkäsittelyn jälkeen Riskin käsittelyn jälkeistä riskiä sanotaan jäännösriskiksi Arvioidaan riskin käsittelytoimenpiteet riittävyyttä Tarvittaessa palataan toimintaympäristön määrittelyyn
Viestintä & seuranta Mahdollistetaan riskinhallinnan päätöksentekijöiden ja sidosryhmien kahdensuuntainen tiedonvaihto Riskinhallintapäälliköllä pitää olla käsitys kokonaiskuvasta ja viestintä roolien välillä tulee olla jatkuvaa. Organisaation seuraa uusia uhkia ilmenemistä. ylläpitää suojattavien kohteiden suojattavia rekisteriä ja päivittää olemassa olevien suojattavien kohteiden arvoja. tapahtuneita tietoturvahäiriöitä, läheltä piti tilanteita ja harjoituksissa ilmenneitä tilanteita tiedossa olevien haavoittuvuuksien mahdollisuutta altistua uusille uhkille.
Digiturvakulttuurin merkitys riskinhallinnassa Jos henkilöstö ilmoittaa poikkeamista vain vähän, se ei tarkoita välttämättä tarkoita digiturvallisuuden olevan kunnossa. Mahdollistettava se, että organisaatio kykenee oppimaan yksilön tekemistä virheistä. Inhimillisen virheen syyt eivät välttämättä ole yksilössä, vaan haavoittuvassa prosessissa tai väärissä työvälineissä. Tietoturvapoikkeman sattuessa tulisi tarkistaa, että riskinarviossa ei ole päivitettävää. Digiturvallisuuskulttuuria parannettaan lisäämällä digiturvatietoisuutta, joka vaikuttaa asenteen kautta yksilön käyttäytymiseen. Digiturvallisuutietoisuus kehittyy koulutuksen, harjoitusten ja harjoittelun avulla. Yksilöiden parantunut asenne digiturvallisuutta kohtaan näkyy organisaation parantuneena digiturvakulttuurina.
Esimerkki riskiarvio-taulukosta Kriittinen kohde Tietoturv an attribuutii Kriittisen kohteen korvausarvo Kriittisen kohteen korvauks en välilliset kustannu kset Kriittise n kohteen arvo (1-5) Kohteen tyyppi Uhka Haavoit tuvuus Seuraukse t Vaik utus Toden näköis yys Riskitas o Riskink äsittel y Toimen pide Jäännösris kin vaikutus Jäännös riskin todennäkö isyys Käsittely Omi staja Asiakastie tokantapalvelin C 500 30000 4 Laitteisto Hakkeri murtautuu palvelimelle Palomu urista on avoin portti interne tiin palveli melle Henkilötie tohin kohdistuva tietomurto, maine haitta 5 3 15 Pienen nä Säädet ään palomu uriin pääsy ainoast aan tiettyst ä iposoitte esta 5 1 Hyväksyt ään Matt i meik äläin en
Riskinhallinta, häiriöidenhallinnan ja jatkuvuuden hallinta Riskinhallinta Häiriötilanteiden hallinta Jatkuvuuden hallinta Aika Häiriö Vakava häiriö tai katkos Organisaation suorituskyky
Lähteet + lisämateriaali Lähteet: Raggad. B (2010) Information Security Management: Concepts and Practice Digiturvan Projektiopas Ilkka Ilmonen, Jani Kallio, Jani Koskinen, Markku Rajamäki (2013) Johda riskejä käytännön opas yrityksen riskienhallintaan Ohje riskienhallintaan Maksullista lisämateriaalia www.sfsonline.fi Iso 31000 ja Iso 27000-sarja
12.00 Lounastauko
12.45 Toiminnan jatkuvuus ja varautuminen VAHTI-pääsihteeri Kimmo Rousku, Väestörekisterikeskus
Kertaus 6.5 työpajassa: Toimintaympäristön tunteminen Periaatteet Johdon sitoutuminen Periaatteet Roolit ja vastuut Tehtävien organisointi PDCA-malli Kriittisten toimintojen tunnistaminen Palko-työkalu
Kriittisyys- luokittelu Järjestelmien luokittelussa tulee erottaa toisaalta tiedon suojaaminen (luottamuksellisuus ja eheys) ja toisaalta käytettävyydestä johdettavat vaatimukset. Organisaation toiminnan kannalta elintärkeiden toimintojen ylläpidon tulee olla keskeytyksistä huolimatta mahdollisimman korkeatasoista. Yhdessä tietojärjestelmän osassa toteutuneen riskin vaikutusten leviäminen muualle tietojärjestelmään tulisi estää. JHS 174 ICT-palvelujen palvelutasoluokitus -suosituksen mukainen SLApalvelutaso voidaan johtaa tietojärjestelmän käytettävyysvaatimuksesta alla kuvatulla tavalla:
Käytettävyys Elintärkeä Erittäin tärkeä Tärkeä Jonkin verran tärkeä Ei lainkaan tärkeä SLA-palvelutaso Erittäin kriittinen Kriittinen Laajennettu Normaali Normaali JHS 174 ICT-palvelujen palvelutasoluokitus http://www.jhs-suositukset.fi/suomi/jhs174
Hallintajärjestelmä
Jatkuvuussuunnittelu Organisaation tulisi tehdä jatkuvuussuunnittelu kaikille kriittisille toiminnoilleen. Organisaation tulisi tunnistaa, suunnitella, toteuttaa ja hallita menettelyjä, joita tarvitaan jatkuvuuden hallinnan toteuttamiseksi periaatteiden ja vaatimusten mukaisesti. Jatkuvuussuunnitelmissa kannattaa varautua ainakin seuraavien skenaarioiden varalle: Organisaation toimitilat tai merkittävä osa niistä ei ole käytössä (voimahuollon tai yhdyskuntatekniikan vakavat häiriöt, onnettomuudet, luonnon ääri-ilmiöt, ympäristöuhkat, terrorismi, sotilaallisen voiman käyttö)
Organisaation henkilöstö, merkittävä osa siitä, ylin johto tai avainhenkilöt eivät ole käytettävissä (kuljetuslogistiikan vakavat häiriöt, elintarvikehuollon vakavat häiriöt, väestön terveyden ja hyvinvoinnin vakavat häiriöt, suuronnettomuudet, luonnon ääri-ilmiöt, ympäristöuhkat, terrorismi ja muu yhteiskuntajärjestystä vaarantava rikollisuus, sotilaallisen voiman käyttö) Tietovarantojen, tietojärjestelmien tai tietoliikenteen vakavat häiriöt (kyberuhkat, sovellus- tai ohjelmistovika, voimahuollon tai yhdyskuntatekniikan vakavat häiriöt, onnettomuudet, luonnon ääri-ilmiöt, terrorismi, sotilaallisen voiman käyttö)
Merkittävä palveluntoimittaja, vastapuoli, sidosryhmä tms. ei ole käytettävissä (rahoitus- ja maksujärjestelmän vakavat häiriöt, julkisen talouden rahoituksen saatavuuden häiriintyminen, voimahuollon tai yhdyskuntatekniikan vakavat häiriöt, onnettomuudet, luonnon ääri-ilmiöt, ympäristöuhkat, terrorismi, sotilaallisen voiman käyttö) Yleensä kaikki organisaation toiminnan jatkuvuutta uhkaavat riskit voidaan sijoittaa näiden pääryhmien alle. Näihin skenaarioihin varautumalla voidaan toipua useimmista häiriöistä.
Jatkuvuussuunnittelun vaiheet
Palautumistoimintojen määrittely Toiminnon, prosessin tai palvelun omistaja määrittelee sen palautumistavoitteet. Palautumistavoitteiden määrittely on tärkeätä, jotta toipumissuunnitelmat vastaavat toiminnan tarpeita. Järjestelmille määritellään toipumispisteet ja toipumisajat. Toiminnan keskeytysvaikutusanalyysin perusteella saadaan käsitys pisimmästä toiminnan sietämästä käyttökatkosta (RTO, toipumisaika) sekä siitä, kuinka pitkältä ajalta tietoa voidaan menettää (RPO, toipumispiste). Toipumispistettä määritettäessä varaudutaan siihen, että tietoa ei pystytä palauttamaan häiriön alkamisajankohtaan, vaan saatetaan joutua palaamaan aikaisempaan palautuspisteeseen. Palautumistavoitteiden määrittelyssä huomioidaan ja optimoidaan niistä aiheutuvat kustannukset. Mitä lyhempää toipumisaikaa tai palautumispistettä tavoitellaan, sitä suuremmaksi kustannukset yleensä nousevat. RPO Recovery Point Objective RTO Recovery Time Objective
RPO - toipumisaika Kun RTO- ja RPO-arvot on määritelty, suunnitellaan tekniset ratkaisut, joilla määritettyihin tavoitteisiin on mahdollista päästä. Konkreettinen esimerkki RPO:n määrittelystä on, että tietyn järjestelmän pitää pystyä palautumaan siten, että tietoa ei menetetä yli kahden minuutin ajalta (paljon tapahtumia minuutissa). Toisissa järjestelmissä RPO voi olla 24 tuntia (vähemmän tapahtumia, käyttäjiä tai muutoksia). Pitkästä palautumistavoitteesta esimerkkinä on järjestelmän rakentaminen uudelleen ja tiedon palautus viikkovarmistuksista jonkin verran tai ei lainkaan tärkeissä järjestelmissä.
RTO - toipumispiste RTO vastaavasti valitaan järjestelmän luokittelun mukaisesti; elintärkeällä järjestelmällä RTO voi olla 1 tunti ja ei lainkaan tärkeällä voi riittää viikon RTO. Palvelutuottajia käytettäessä tulee huomioida RTO:n suhde kuvattuihin palvelutasoihin ja niihin sisältyviin vaateisiin. Ei lainkaan tärkeälle, jonkin verran tärkeälle tai tärkeälle järjestelmälle asetetaan yleensä vasteaikavaade, erittäin tärkeälle tai elintärkeälle järjestelmälle voidaan asettaa tämän sijaan ratkaisuaikavaade. Vasteaika tarkoittaa sitä aikaa, jonka kuluessa asia otetaan käsittelyyn. Ratkaisuaika eroaa vasteajasta siten, että se sisältää palautumislupauksen siitä, kuinka nopeasti järjestelmän toiminta palautuu takaisin normaalitilaan. SLA:t ja mahdolliset vasteaika- ja ratkaisuaikavaateet sisällytetään vaatimusmäärittelyyn järjestelmiä ja palveluita hankittaessa.
Toipumissuunnitelma Jatkuvuussuunnitelmat laaditaan kaikille organisaation kriittisiksi luokitelluille prosesseille ja toiminnoille sekä niiden toiminnan kannalta merkittäville tukiprosesseille. Toimintojen ja prosessien kannalta kriittisille tietojärjestelmille laaditaan toipumissuunnitelmat. Jatkuvuus- ja toipumissuunnitelmat muodostavat hierarkkisen kokonaisuuden, jossa eri tasoiset jatkuvuus- ja toipumissuunnitelmat muodostavat jatkuvuuden hallinnan kokonaisuuden. Alla olevassa kuvassa on esitetty esimerkinomaisesti eri suunnitelmien välinen hierarkia ja vaihtoehtojen kirjo.
Häiriötilanteen johtaminen Häiriötilanteessa jatkuvuuden hallinnan toimenpiteet ja toipumisen käynnistää tilannejohtoryhmä. Organisaation johto vastaa toimenpiteiden hyväksymisestä. Yleensä ne, jotka vastaavat toiminnasta normaalioloissa, vastaavat siitä myös häiriötilanteissa ja poikkeusoloissa. Organisaation koosta tai toiminnasta riippuen voi olla myös erillinen operatiivista toipumista edistävä ryhmä. Operatiivinen toipumisryhmä vastaa teknisestä toipumisesta toipumissuunnitelmien mukaisesti. Ryhmien kokoonpanot, yhteystiedot ja tavoitettavuustiedot määritellään jatkuvuus- ja toipumissuunnitelmissa sekä kerrotaan etukäteen osallisille. Työnjako ja keskinäinen viestintä määritellään ja vastuutetaan etukäteen. Tilannetta johtaa ja koordinoi tilannejohtoryhmä, joka ohjaa mahdollista operatiivista toipumisryhmää. Huomattavia kustannuksia aiheuttaville korjaustoimenpiteille sovitaan ennalta toimintamallit ja päätöksentekijät.
Sisäinen ja ulkoinen viestintä häiriötilanteessa Organisaatiolla tulisi olla viestintäperiaatteet ja -ohjeet sisäiseen ja ulkoiseen tiedottamiseen. Niissä kuvataan myös häiriöviestinnän toteuttaminen, sekä siihen liittyvät roolit ja vastuut. Sidosryhmät ja kontaktipisteet, joille organisaatio on vastuussa palvelujen jatkuvuudesta ja tietoturvallisuudesta, tunnistetaan esimerkiksi toimintojen kuvaamisen yhteydessä. Kommunikointi organisaatioiden sekä palvelutuottajien ja alihankkijoiden välillä korostuu erityisesti hajautetussa tieto- ja viestintäteknologisten palvelujen tuotannossa. Viestinnän sisältöä suunniteltaessa huomioidaan esimerkiksi pitkät käyttökatkot, suunnitellut korjaustoimenpiteet, haittaohjelmien aiheuttamat katkot tai isojen tietomäärien varmistusten palautuksen vaatima aika-arvio. Viestinnän tulisi aina olla oikea-aikaista, jatkuvaa ja avointa. Viestinnän työvälineiden saatavuus tulisi huomioida jatkuvuussuunnittelussa.
Häiriötilanteiden viestinnän järjestämiseen on saatavissa seuraavaa ohjeistusta: Valtionhallinnon sivusto, jossa on ohjeita valtionhallinnon viestintään häiriötilanteissa ja poikkeusoloissa (https://vnk.fi/viestinta/valtionhallinnon-viestinnan-saadoksia-ja-ohjeita ) Vaaratiedoteopas (http://julkaisut.valtioneuvosto.fi/bitstream/handle/10024/79045/vaaratied oteopas.pdf?sequence=1&isallowed=y ) Varaudu. Opas kunnan viestintään kriisi- ja erityistilanteissa (http://shop.kunnat.net/download.php?filename=uploads/p090902125816 E.pdf )
Valmiussuunnittelua https://www.pelastusopisto.fi/wpcontent/uploads/2017/02/34760_kunnan_valmiu ssuunnitelman_yleisen_osan_malli_ja_ohje_sen _kayttoon_netti.pdf
Valmiussuunnittelua http://julkaisut.valtioneuvosto.fi/bitstream/hand le/10024/70329/urn_isbn_978-952-00-3527- 3.pdf?sequence=1&isAllowed=y
https://stm.fi/valmiusasiat STM on tuottanut julkaisuja sosiaali- ja terveydenhuollon valmiussuunnittelun tueksi: Evakuointikeskuksen perustaminen. Ohje sosiaali- ja terveydenhuollon toimijoille (Julkaisuja 2015:1) Linkki toiselle sivustolle Ympäristöterveyden erityistilanteet. Opas ympäristöterveydenhuollon työntekijöille ja yhteistyötahoille (Julkaisuja 2014:21)Linkki toiselle sivustolle Riskienhallinta ja turvallisuussuunnittelu. Opas sosiaali- ja terveydenhuollon johdolle ja turvallisuusasiantuntijoille (Julkaisuja 2011:15)Linkki toiselle sivustolle Ensihoidon palvelutaso. Ohje ensihoitopalvelun palvelutasopäätöksen laatimiseksi sairaanhoitopiireille (Julkaisuja 2011:11)Linkki toiselle sivustolle Traumaattisten tilanteiden psykososiaalinen tuki ja palvelut. Opas kunnille ja kuntayhtymille. (Julkaisuja 2009:16)Linkki toiselle sivustolle Terveydenhuollon laitosturvallisuuden kehittäminen. Työryhmämuistio (Selvityksiä 2009:59)Linkki toiselle sivustolle Sosiaalitoimen valmiussuunnitteluopas (Julkaisuja 2008:12)Linkki toiselle sivustolle Terveydenhuollon valmiussuunnitteluopas (Oppaita 2002:5)
Vaikutusanalyysi (Business Impact Analysis, BIA) Vaikutusanalyysillä tarkoitetaan toiminnan keskeyttävien tai toiminnan jatkuvuutta häiritsevien uhkien tunnistamista sekä toimintaan liittyvien riippuvuuksien tunnistamista. Vaikutusanalyysissä pyritään kartoittamaan erilaisten riskien toteutumisen toiminnalliset vaikutukset. Niiden perusteella voidaan valita jatkuvuuden turvaamiseen ja toipumistilanteisiin oikeat ja riittävät toimenpiteet. Tieto- ja kyberturvallisuuden näkökulmasta vaikutusanalyysissä erityisesti valtionhallinnon tai muun julkisen sektorin organisaation toiminnan kannalta tarkasteltavia asioita ovat mm. Vaikutukset omaan operatiiviseen toimintakykyyn Vaikutukset säädösperusteisten tehtävien suorittamiseen (vrt. myös yhteiskunnan elintärkeät tehtävät)
Prosessi
Työkalu löytyy työpajan materiaalit
Mallipohjat Digiturva projektiopas liitteet julkaisemme myös tyhjinä Wordtiedostoina nyt osa Projektiopasta Toipumissuunnitelma sisällysluettelo Jatkuvuussuunnitelma sisällysluettelo
Miten jatkamme seuraavat työpajat 21.8 työpaja Käymme tarkemmin eli yksityiskohtaisesti läpi vielä tämän toiminnan jatkuvuuden ja varautumisen kokonaisuuden mallipohjien hyödyntäminen Ohjeita TAISTO19-harjoitukseen valmistautumiseen 19.9 työpaja - alustavasti Kuntaliiton KUJA-hankkeiden opit ja osin uudet työkalut Häiriö- ja kriisiviestintä ammattilaisen parhaat opit ja vinkit Ohjeita TAISTO19-harjoitukseen valmistautumiseen
14.15 Kahvitauko
14.30 VRK:n palveluiden kriittisyyden arviointi TYÖPAJA #3 TIETOSUOJA RISKIENHALLINTA TOIMINNAN JATKUVUUS JA VARAUTUMINEN ANTTI AHOKAS 12.6.2019
Lähtökohdat Tavoitteena on, että VRK tuottamat palvelut kriittisyysluokitellaan Työkalun avulla jatketaan kriittisyysluokittelun ylläpitoa Aikaisemmassa mallissa tietoja ylläpidettiin exceleissä Mahdollistaa helpomman raportoinnin viraston johdolle, seurannan, tietojen ylläpidon ja päivityksen
Kriittisyysluokittelun tavoitteena on tunnistaa palveluiden kriittisyys Mitoittaa riittävät kontrollit kriittisyysluokittelun mukaisesti Käytännössä kriittisyysluokittelulla on vaikutuksia esim: Tietoturvallisuuteen ja varautumiseen liittyvät vaatimukset Toivuttamisjärjestys Resurssit (esim. palveluiden tietoturvallisuuden vuosikello) Harjoittelu Jatkuvuussuunnitelma Riskienarvioinnit (riskin vaikutukset isommat kriittisessä palvelussa) Auditointisuunnitelma
TIRA TIRA on Väestörekisterikeskuksen tilannekuva- ja raportointijärjestelmä. Keskeinen tietoturvallisuuden operatiivinen työkalu Kattaa mm. seuraavia osa-alueita: Kriittisten palveluiden vuosikello Riskit Auditoinnit Poikkeamat Henkilöstön tietoturvakoulutukset Palveluiden kriittisyysluokittelu
Kriittisyysluokittelun aloitus
Palvelun yleistiedot
Palvelun kriittisyysluokittelu
Palvelun kriittisyystason määrittely
Kriittisyysryhmät
Kriittisyysryhmät Kriittisyysryhmän 1 Palveluista tulee olla jatkuvuussuunnitelmat. Palvelutuottajat velvoitetaan raportoimaan Väestörekisterikeskukselle toipumissuunnittelusta sopimuksen mukaisesti. Kriittisyysryhmän 2 palveluiden jatkuvuussuunnittelusta päätetään riskiarvioinnin pohjalta
Yhteenveto Palvelut saadaan luokiteltua eri koreihin, jolloin resurssit osataan kohdistaa oikeisiin kohteisiin Palvelun omistaja vastaa kriittisyysluokittelun tekemisestä, tietoturvallisuus tukee luokittelun tekemisessä Kriittisyysluokituksien katselmointi ja päivittäminen tulee olla säännöllistä Soveltuu hyvin VRK:n ympäristöön Raportoinnin helpottuminen Tehostaa tiedon säännöllistä ylläpitoa ja seurantaa
15.00 Parhaat käytännöt: Riskienhallintatyöpajan toteuttaminen sekä muita hyviä riskienhallinnan käytäntöjä KONSULTTI ARTO KANGAS, NETUM OY
JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE ARTO KANGAS, KONSULTTI NETUM OY
Riskienhallintatyöpaja: Suunnittelun kulmakivet 1/3 Oletko itse organisaationne riskienhallinnasta vastuussa, jos et ole: Selvitä, kuka on organisaatiosi riskienhallinnasta vastuussa Selvitä, onko organisaatiossanne säännöllisesti riskejä käsittelevä elin tai ryhmä tms. Selvitä, miten riskienhallinnan prosessi on sovittu ja kuvattu organisaatiossanne Selvitä myös, mitkä ovat organisaatiosi riskienhallinnan periaatteet, esimerkiksi: Riskienhallinnan käsikirja Riskien arvioinnin ohjeet..tai muu vastaava dokumentaatio Riskienhallinnan periaatteet. Lähde: SFS-ISO 31000:2018 Eli miksi ja minkä tavoitteiden ja periaatteiden mukaan riskejä arvioidaan organisaatiossanne?
Riskienhallintatyöpaja: Suunnittelun kulmakivet 2/3 Riskienhallintaan olennaisesti liittyvät myös puitteet Käytännössä tämä tarkoittaa Organisaation kykyä yhdistää riskienhallinta keskeisiin toimintoihinsa ja tehtäviinsä Johdon tukea eli päätöksenteon merkitys on tärkeä Kehittymiskykyä eli kykyä toimia muuttuvissa tilanteissa Keskeinen tavoite on saada aikaan vaikutusta Keskeinen tavoite on myös muutoksenhallinta Riskienhallinnan puitteet. Lähde: SFS-ISO 31000:2018
Riskienhallintatyöpaja: Suunnittelun kulmakivet 3/3 Onko organisaatiossanne sovittu prosessi (menettely) riskien arvioinnin käytännön toteuttamiseen? Liittyykö läpikäyntiin työkaluja tai muita menetelmiä, joita organisaatiossanne suositellaan käytettäväksi? Käytännössä esimerkiksi: Mihin riskit kirjataan? Kuka/ketkä analysoivat riskit? Kuka/ketkä arvioivat riskien merkityksen? Miten havaitut ja arvioidut riskit käsitellään? Riskien arvioinnin prosessi. Lähde: SFS-ISO 31000:2018 HUOM! Vaikka riskienhallinnan tukena olisikin jokin muu standardi tai viitekehys kuin ISO 31000, niin varsinainen riskien arviointiprosessi sisältää kutakuinkin oheisessa kuvassa esitetyt vaiheet.
Mikä riskienhallintatyöpajan järjestämisessä voi mennä pieleen? Aika Ajanka ytto, aikataulu, vaiheistaminen Ajankohta, ajoitus, priorisointi Ehtiminen, ajanka ytto, hosuminen Aikavarkaat, ylla tta va t poisja a nnit, uudelleen Yleinen sählääminen Riskien tunnistamisessa jo ratkotaan toimenpiteitä Ylimalkaisuus, kunhan nyt jotain listataan Olosuhteet Tilat (ja tarjoilut, ei kahvi pakollinen, mutta ) Kokouskäytännöt (liittyy myös aikaan ja ihmisiin) Tietoliikenneyhteydet (vrt. Skype-kokousten mahdollisuudet ja myös haasteet) Ihmiset Ristiriitainen ymmärrys riskeistä ja käsitteistä Osaamisen puute, asiantuntijuus vs. viisastelu Sitoutuminen tai motivaatio heikkoa Osallistumisen tehottomuus, merkitysten vähättely Menetelmä ja työkalut Valitaan liian vaikea/monimutkainen työkalu Valitaan väärä menetelmä (esim. kevyt/raskas) Osapuolet (organisaatiot) Palveluntarjoajat, alihankintatahot Loppukäyttäjien / asiakkaiden näkökulma Viranomaisnäkökulma, sääntelyn merkitys KÄÄNNÄ UHKAT MAHDOLLISUUKSIKSI!
Riskien hallintatyöpaja: Valmistelutoimet osa 1/2 Kohteen kannalta tulisi suunnitella ja valita: 1. Minkälaisia riskejä tai mihin vaikuttavia riskejä halutaan kartoittaa, esimerkiksi vaikutusta Lakisääteisiin tehtäviin, prosesseihin? Strategisiin tavoitteisiin, kehyskauteen? Tulostavoitteisiin, vuosisuunnitteluun? Hankkeisiin tai projekteihin? 2. Mistä näkökulmasta riskiarviointi tulee tehdä Ns. omistajan na ko kulma? Käyttäjien näkökulma? Asiakkaiden näkökulma? Suojattavan kohteen tai tiedon näkökulma? Sisäinen tai ulkoinen näkökulma (yleensä useita)? 3. Onko jotain muuta erityistä, jota on otettava huomioon kohteen tai jonkun muun osapuolen kannalta? Onko täytettävä jokin tietty kriteeristö? Onko vaatimuksen riskien arvioimisesta asettanut esimerkiksi yhteistyökumppani tai asiakas tai edellyttääkö sitä jokin tietty viranomainen? Mihin kaikkiin osapuoliin riskit voivat liittyä?
Riskien hallintatyöpaja: Valmistelutoimet osa 2/2 Hyvissä ajoin etukäteen: 1. TAVOITE ja KOHDE: Mieti mitä olet tekemässä? Minkä kohteen osalta aiot tarkastella riskejä? Minkä vaikutuksen haluat saada aikaan? 2. OSALLISTUJAT: Suunnittele, ketkä tuovat lisäarvoa? Ketkä voivat asiantuntemuksellaan auttaa asiassa? Ketkä ovat niitä, joilla on tarvittavia tietoja? 3. AIKATAULU: Missä ajassa asiat on läpikäytävä? Kenelle ja milloin on raportoitava havainnoista? Jos mahdollista / riskejä jo tiedossa, niin mihin mennessä pitäisi saada aikaan toimenpiteitä? Käytännössä myös: 1. Kuka ohjaa riskien arvioinnin prosessin Vetäjä omasta henkilökunnasta? Tarvitaanko ulkopuolinen (asiantuntija tms.)? Entä varahenkilö vetäjälle? 2. Tarvitaanko arviointikehykseen liittyvää koulutusta Onko esim. itseopiskelumateriaalia? Onko esim. verkkokurssi tms.? Miten varmistetaan, että kaikilla osallistujilla on sama käsitys käsitteistä? 3. Onko erikielisyys huomioitava jollakin tavalla?
Riskien hallintatyöpaja: Käytännön toimet 1. Riskien hallinnan työpajan valmistelutoimet 2. Aloituskokous Riskien arvioinnin kohde ja arvioinnin tavoitteet Osallistujat, käytettävät menetelmät ja työkalut (ja mahdolliset muut resurssit) Tavoiteaikataulu arvioinnin vaiheille 3. Riskien arvioinnin toteutusprosessi vaiheittain Riskien tunnistaminen Riskianalyysi Riskien merkityksen arviointi 4. Riskien käsittely Mitä riskeille tehda a n ja kun tehda a n, niin kuka tekee, ja mihin mennessa tekee ja kenelle toimista raportoidaan (tai kuka seuraa toimien valmistumista) 5. Päätöskokous arviointiprosessille Usein myös uudelleenarvioinnista sovittava 6. Seuranta(-kokoukset) riskien käsittelytoimille Varmistettava toimien toteutuminen
Erilaisia viitekehyksiä, esimerkkejä (vrt. ks. myös VAHTI Ohje riskienhallintaan 22/2017) Standardit ja viitekehykset 1), mm. ISO 27001, ISO 31000, ISO 22301, Microsoft STRIDE, CosoERM, Vaikutustenarvioinnit kuten BIA, DPIA, Viranomaisohjeet ja linjaukset 2), mm. Yhteiskunnan turvallisuusstrategia (YTS) VAHTI-ohjeet, JHS-suositukset, KATAKRI,... Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Kaikissa näissä korostuu riskien arvioinnin merkitys ja riskienhallinnan vaikutukset Mallit ja työkalut 3), mm. Säädökset ja muut viranomaisohjeet Politiikka- ja ohjemallit Valmius-, jatkuvuus- ja toipumissuunnitelmamallit Auditointien ja arviointien työkalut Teknisen tietoturvan kartoitustyökalut 1) Standardit ovat kaupallisia tuotteita, mutta kenen tahansa verkosta ostettavissa. 2) Viranomaisohjeet ja linjaukset ovat yleensä maksuttomia ja vapaasti saatavia julkaistuja. 3) Mallit ja työkalut perustuvat säädöksiin, standardeihin, viranomaisohjeisiin ja niitä käytetään toteutuksissa.
Lopuksi vielä YTS 2017 ja tietosuoja, poimintoja Valmiuslain (1552/2011) näkökulma Suurimmalla osalla viranomaisia on todellisia velvoitteita tehdä ainakin osa tehtävistään myös häiriöja poikkeustilanteissa Yhteiskunnan turvallisuusstrategia (YTS 2017) Varautumisen prosessi (suunnittelu ja toiminta, ennakointi ja palaute) Mm. elintärkeät toiminnot ja riskiarvio Uhkamallit 13 kpl (+ mahdolliset lisäykset) Kansallinen riskiarvio Laajasti yhteiskuntaan vaikuttavat skenaariot Vakavat alueelliset tapahtumat Tietosuoja ja riskit Riskien arvioinnissa olennaista rekisteröity tietoineen Mitä rekisteröidyn vapauksia ja oikeuksia käsittely voi vaarantaa Mitä vahinkoja rekisteröidylle voi aiheutua suunnitellusta henkilötietojen käsittelystä Vaikutustenarviointi (vähintään silloin, kun korkea riski) Korkea riski (katso esimerkiksi WP 248 dokumentista) Arviointi tai pisteytys, automaattinen päätöksenteko, järjestelmällinen valvonta Arkaluontoiset tiedot, käsittelyn laajamittaisuus, tietojen yhdistely Heikossa asemassa olevat, uudet teknologiset ratkaisut, ennakoivat rajoitteet oikeuksiin
Kiitos, myöhemmin lisää tästä tai tähän liittyvistä asioista arto.kangas@netum.fi
TAISTO19-harjoitus kutsu harjoitukseen sekä kuinka siihen tulee valmistautua? VAHTI-PÄÄSIHTEERI KIMMO ROUSKU, VÄESTÖREKISTERIKESKUS
Muistelo TAISTO18 http://www.vrk.fi/taisto Raportti Harjoitusmateriaalit tilattavissa lomakkeen avulla kuka tahansa voi nyt tehdä oman TAISTO18-harjoituksen Hupparihörhön viesti
TAISTO19 mistä koostuu? Toiminnan kriittisyyden arviointi Onhan organisaatio tunnistanut sen toiminnalle kriittiset palvelut ja toiminnot? Riskienhallinta Tietosuojan toteuttaminen ja varautuminen henkilötietojen tietoturvaloukkauksiin Onhan TAISTO18 opit ja havainnot sekä kehittämistoimenpiteet toteutettu Toiminnan jatkuvuuden ja varautumisen harjoittelu Voi olla, että TAISTO19 seurauksena jotain pääsee tapahtumaan
Milloin Kolme harjoituspäivää klo 8.45 16.00 7.11 Torstai - harjoitus alkaa kuitenkin jo 10.10.2019 19.11 Tiistai alkaa 22.10 26.11 Tiistai alkaa 29.10 Harjoitus käynnistyy kuukautta ennen harjoituspäivää ensimmäisellä syötteellä tähän tulee varata aikaa muutama tunti sekä sen perään viikon päästä syöte #2 sama juttu, tälle tulee varata aikaa muutama tunti Edellyttää myös johon herättelyä Ei tarvitse edistää samana päivänä kuin syöte tulee, kunhan toteutetaan ennen harjoituspäivää
Ketä tarvitaan? Digiturvan eri osa-alueiden asiantuntijaroolit ICT:n vastuuhenkilö Johdon edustaja(t) Viestinnän edustaja Tarkkailija kirjaamaan harjoituspäivän tapahtumia Harjoitusta edeltävissä syötteissä ei välttämättä tarvita kaikkia rooleja
Miten voimme ilmoittautua? Toimitamme ensi viikolla ilmoittautumiskirjeen kaikkiin julkisen hallinnon organisaatioihin sekä avaamme ilmoittautumisen Ja lisäksi laitamme suoraan yhteishankkeeseen osallistuneiden organisaatioiden yhteyshenkilöille Käsittelemme tätä siis syksyn työpajoissa
Muuta Olemme kehittäneet päivän raportointia Tuotamme materiaalit ennakolta myös keskeisten asioiden osalta ruotsiksi
Kotitehtävät sekä muuta muistettavaa
Mitä asioita toivomme teidän nyt seuraavaksi tekevän? 1. Riskienhallinta Tutustu Digiturvaoppaaseen sekä Digiturvan projektioppaaseen Tarkista, että organisaatiossasi on riskienhallintapolitiikka ja että se on ajan tasalla 2. Toiminnan jatkuvuus ja varautuminen Voit katsoa, miltä BIA-työkalu vaikuttaa, jotta ymmärrät sen merkityksen Onhan organisaation arvioimassa sen kriittisiä toimintoja? Palko auttaa tässä. Selvitä, millaiset mallit organisaatiolla on jatkuvuus- valmius- ja toipumissuunnitteluun 3. Varmista organisaation johdolta, että osallistutte TAISTO19- harjoitukseen
Täytä 3. työpajan palautekysely Palautekysely julkaistaan: https://vrk.fi/judo/tyopajat
Kiitos! Tapaamme 17.6 tai 21.8 VAHTI-kesäseminaari 26.8