Määräykset 66 ja 67 Uudet määräykset teletoiminnan häiriötilanteista ja tietoturvasta
Määräysperusta Mikä muuttui? Ketä velvoittaa? 2
5,5 vanhaa määräystä korvattiin 1.1. alkaen kahdella uudella Häiriötilannemääräys (M66)» Aiempi M57» Aiempi M9» Osa aiempaa M13 (tilastointi)» Osa aiempaa M47 Tietoturvamääräys (M67)» Valtaosa aiemman M28 lukua 1» Valtaosa aiempaa M11» Valtaosa aiempaa M13» Osa aiempaa M47 Eli määräys kokoaa yhteen kaikki ylläpitoa ja erilaisten häiriötilanteiden (vikojen, häiriöiden ja tietoturvaloukkausten) hallintaa sekä niistä ilmoittamista koskevat velvoitteet Eli määräys kokoaa yhteen kaikki tietoturvan suunnittelua ja toteuttamista koskevat velvoitteet 3
Määräykset 66 ja 67 koskevat teleyrityksiä Yleisen teletoiminnan harjoittamista (eli teleyrityksiä)» Niitä, jotka tarjoavat verkkopalvelua (eli verkkoa viestien siirtoon) tai viestintäpalvelua (eli viestien siirtämistä) ennalta rajaamattomalle käyttäjäpiirille Määräykset eivät koske muita viestinnän välittäjiä» Eli yhteisötilaajaa ja sellaista muuta tahoa, joka välittää sähköistä viestintää muutoin kuin henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin Esimerkkejä teletoiminnasta: https://www.viestintavirasto.fi/ohjausjavalvonta/ohja uksenjavalvonnankohteetjatavat/tulkintaohjeitatoimij oistajapalveluista/esimerkkejateletoiminnasta.html 4
Määräyksiin liittyy perustelut ja soveltaminen -muistio eli MPS» jossa neuvotaan, miten määräyksen vaatimustason voi toteuttaa MPS sisältää» suosituksia hyvistä käytännöistä ja» kuvauksia viraston vakiintuneista tulkinnoista MPS ei ole velvoittava asiakirja» vaatimukset ovat itse määräyksessä 5
Määräys 66 Teletoiminnan häiriötilanteista 6
Yleistä Keskeiset muutokset ja määräyksen rakenne 7
Prosessien määrä vähenee (1/2) Aiemmin Neljässä eri määräyksessä ja yhdessä komission asetuksessa oli vaatimuksia:» Erilaisten häiriöiden havaitsemisesta ja hallinnasta» Viranomaisille ja käyttäjille häiriöiden ilmoittamisesta Yhteensä kolme erilaista prosessia ilmoituksille Henkilötietojen tietoturvaloukkaukset (EU 611/2013) Ilmoittaminen käyttäjille Ilmoittaminen viranomaisille Muut tietoturvaloukkaukset (M9 + M13 + M47) Kyky havaita ja hallita loukkauksia tai niiden uhkia Ilmoittaminen käyttäjille Ilmoittaminen viranomaisille Vika- ja häiriötilanteet (M57) Kyky havaita ja hallita vika- ja häiriötilanteita Ilmoittaminen käyttäjille Ilmoittaminen viranomaisille 8
Prosessien määrä vähenee (2/2) Uudessa määräyksessä häiriö on joko Tietoturvahäiriö Toimivuushäiriö Henkilötietojen tietoturvaloukkaus Muu merkittävä tietoturvaloukkaus tai sellaisen uhka Tapahtuma, joka estää toimivuuden tai häiritsee sitä olennaisesti Velvoitteet kyvykkyydestä havaita ja hallita näitä häiriöitä ovat yhteiset Käyttäjille ja viranomaisille ilmoittamisen käytännön prosessit jakautuvat EU-asetuksen 611/2013 mukaan Entiseen määräykseen 57 pohjautuen 9
Kaksi häiriötilannetyyppiä Tietoturvahäiriö Tilanteet, joissa teleyrityksen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus» Pitkälti entinen M9 / SVTsL 21 Henkilötietojen tietoturvaloukkaus» Tilanne, joka johtaa unionissa käsiteltyjen henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai käyttöön antamiseen Esimerkkejä» Verkon määrittelytietojen joutuminen vääriin käsiin» Reititykseen vaikuttavat hyökkäykset» Äkillinen liikenteen kasvu harvinaisiin ulkomaansuuntiin» Tietoturva-aukko, jonka kautta pääsee teleyrityksen asiakasrekisteriin Toimivuushäiriö Tapahtumat, jotka estävät viestintäpalvelun toimivuuden tai häiritsevät sitä olennaisesti» Pitkälti entinen M57 Loppukäyttäjille näkyvä häiriö palvelun käytettävyydessä Esimerkkejä» Pitkittynyt sähkökatkos tiputtaa tukiasemia verkosta» Palvelunestohyökkäys tukkii verkon käyttökelvottomaksi» Kaapelikatkos sekä ensisijaisella että varmistavalla reitillä» Tulipalo tuhoaa laitetilan 10
24 :ää jaettuna 6 lukuun Luku 1 Yleiset säännökset Luku 2 Häiriötilanteiden havainnointi ja hallinta - On kyettävä havaitsemaan häiriöitä (eli on oltava verkonvalvonta) - On kyettävä vastaanottamaan myös ulkoisia häiriöilmoituksia - On oltava prosessit häiriöiden vaikutusten poistamiseen - Muutokset on toteutettava suunnitelmallisesti ja riittävällä aikavarauksella Luku 3 Ilmoittaminen käyttäjälle - Mistä ja milloin viimeistään on ilmoitettava? - Miten on ilmoitettava (ilmoituskanavat)? - Mitä on ilmoitettava? Luku 4 Ilmoittaminen Viestintävirastolle - Mistä on ilmoitettava (ml. toimivuushäiriöiden vakavuusluokittelu)? - Milloin on ilmoitettava? - Miten on ilmoitettava? - Mitä on ilmoitettava? Luku 5 Tilastointi - Häiriötilastot, jotka on neljännesvuosittain ja vuosittain tuotettava Luku 6 - Voimaantulosäännökset https://www.viestintavirasto.fi/ohjausjav alvonta/laitmaarayksetpaatokset/maaray kset/maarays66teletoiminnanhairiotilant eista.html 11
Häiriötilanteiden havainnointi ja hallinta Määräyksen 66 luku 2 12
"On kyettävä havaitsemaan häiriöitä ja reagoimaan niihin" 4 Toimivuuden ja tietoturvan valvonta 5 Toimivuutta ja tietoturvaa häiritsevien tai uhkaavien tilanteiden hallinta 6 Hallinnan toimintakyvyn alenemasta ilmoittaminen Viestintävirastolle 7 Häiriönhallinnan yhteystietojen toimittaminen Viestintävirastolle 8 Asiakasilmoitusten hallinta 9 Muutostenhallinta Velvoitteet kerättiin aiemman määräyksen 57 pohjalle Uusi määräys huomioi myös tietoturvan Ei merkittäviä vaatimustasojen muutoksia 13
Kaksi virastolle ilmoitusvelvollisuutta Hallinnan toimintakyvyn alenemasta ilmoittaminen Viestintävirastolle (6 )» Isojen teleyritysten on ilmoitettava, jos verkonhallintakyky on uhattuna tai menetetään Esim. lakko, pandemia, tulipalo verkonvalvontakeskuksessa, haittaohjelma hallintalaitteistossa, jne.» Ilmoitus tehdään ilman aiheetonta viivästystä joko HHJ:llä tai sähköpostilla (vapaamuotoinen) osoitteeseen viat@ficora.fi» Lisäksi soitto (0295 390 800) Häiriönhallinnan yhteystietojen toimittaminen Viestintävirastolle (7 )» Kaikkien teleyritysten on ilmoitettava häiriönhallintatoimintojensa yhteystiedot virastolle» Määräyksen liite 1 (https://www.viestintavirasto.fi/attachments/maaraykset/m66_liite1.dot) sähköpostilla osoitteeseen yhteystiedot66@ficora.fi Huom! Sähköpostiosoite muuttunut!» Ilmoitus on tehtävä viipymättä, kun tiedoissa tapahtuu muutoksia Aiemmin edellytettiin joka vuosi 14
Ilmoittaminen käyttäjälle Määräyksen 66 luku 3 15
Muutokset suhteessa aiempiin vaatimuksiin Toimivuushäiriöiden käyttäjätiedotusvaatimukset ennallaan Tietoturvahäiriöiden käyttäjätiedotusvaatimukseen pieniä tarkennuksia» Menettely määräytyy EU-asetuksen 611/2013 mukaan» Käytännössä ilmoitettavat tiedot on määritelty aiempaa tarkemmin 16
Kaksi ilmoitusmenettelyä (1/3) Tietoturvahäiriö Kaikista tietoturvahäiriöistä ilmoitetaan komission asetuksen 611/2013 mukaisesti» Henkilötietojen tietoturvaloukkaus» Muu merkittävä tietoturvaloukkaus tai sellaisen uhka Tiedottamiskynnys:» Jos henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia henkilön henkilötiedoille tai henkilöjen yksityisyydelle Arviointiperusteita käsitellään asetuksen 3 artiklassa» Jos kyseessä on muutoin käyttäjälle merkittävä tilanne Esim. suojautuminen edellyttää käyttäjätoimenpiteitä» Esimerkkejä on luetteloitu MPS:ssä Toimivuushäiriö Kaikista toimivuushäiriöistä ilmoitetaan määräyksen 66 mukaisesti» Tapahtuma, joka estää toimivuuden tai häiritsee sitä olennaisesti Tiedottamiskynnys:» Kaikkien palvelujen häiriöt: Jos kestää yhtäjaksoisesti yli 60 minuuttia ja vaikuttaa vähintään 250 käyttäjään» Pitkäkestoiset peruspalvelujen häiriöt: Jos estää täysin puhelin-, tekstiviesti-tai internetyhteyspalvelun käytön yhtäjaksoisesti viikon ajan, on tiedotettava vaikutta vaikuttaisi alle 250 käyttäjään 17
Kaksi ilmoitusmenettelyä (2/3) Tietoturvahäiriö Tiedottamisen ajankohta:» Ilman aiheetonta viivästystä Tiedotuskanavat:» Mahdollisimman suoraan niille käyttäjille, joita asia koskee» Tarvittaessa myös yleisiä tiedotteita voidaan käyttää Toimivuushäiriö Tiedottamisen ajankohta:» Viipymättä Tiedotuskanavat:» Kaikkien palvelujen häiriöt (60 min/250 käyttäjää): Aina tekstimuotoinen tiedote verkkosivuilla Karttamuotoinen tiedote verkkosivuilla mahdollisuuksien mukaan Aina saatava tietoa puhelimitse» Pitkäkestoiset peruspalvelujen häiriöt (viikko/myös alle 250 käyttäjää) Suora asiakastiedote mahdollisuuksien mukaan 18
Kaksi ilmoitusmenettelyä (3/3) Tietoturvahäiriö Ilmoitettavat tiedot:» Palveluntarjoajan nimi,» mahdollisen lisätietoja antavan tahon yhteystiedot (esim. asiakaspalvelu),» tiivistelmä häiriöstä,» kuvaus käyttäjälle todennäköisesti aiheutuvista seurauksista,» toimenpiteet, jotka teleyritys on toteuttanut tilanteen vuoksi ja» teleyrityksen suosittelemat toimenpiteet, joilla voidaan lieventää mahdollisia haittavaikutuksia ja niiden mahdolliset kustannukset. Toimivuushäiriö Ilmoitettavat tiedot:» Milloin häiriö on havaittu,» häiriön arvioitu kesto,» mihin palveluun häiriö vaikuttaa,» miten vaikuttaa palvelun käyttöön,» mikä on maantieteellinen vaikutusalue,» lisätietolähteet ja» käyttäjien käytettävissä olevat suojautumistoimenpiteet ja niiden mahdolliset kustannukset. TV- ja radiokanavia tai niiden lisäja oheispalveluja koskevissa tiedotteissa lisäksi:» missä joukkoviestintäverkossa häiriötilanne vaikuttaa ja» mihin TV- ja radiokanaviin häiriö vaikuttaa. 19
Ilmoittaminen Viestintävirastolle Määräyksen 66 luku 4 20
Muutokset suhteessa aiempiin vaatimuksiin Toimivuuden C-luokan häiriöt ensi- ja seurantailmoitusten piiriin» 1.7. alkaen Tietoturvahäiriöiden ilmoittamisvaatimuksia tarkennettu» Menettely määräytyy EU-asetuksen 611/2013 mukaan» Käytännössä ilmoittamisajankohdat ja ilmoitettavat tiedot on määritelty aiempaa tarkemmin Radiotoiminnan harjoittajien virastolle ilmoitusvelvollisuutta rajattu» Ilmoitusvelvollisuus ei enää koske harjoittajia, joiden toimiluvan mukainen väestöpeitto on alle 90 % 21
Tässäkin, kaksi ilmoitusmenettelyä Tietoturvahäiriö Kaikista tietoturvahäiriöistä ilmoitetaan komission asetuksen 611/2013 mukaisesti» Henkilötietojen tietoturvaloukkaus» Muu merkittävä tietoturvaloukkaus tai sellaisen uhka Ilmoittamiskynnys:» Jos henkilötietoihin on kohdistunut tietoturvaloukkaus Vaikka ei olisikaan käyttäjävaikutuksia» Jos kyseessä on muutoin merkittävä tietoturvaloukkaus tai sellaisen uhka Lain perustelut: "Loukkauksen tai sen uhkan merkittävyyttä arvioitaessa on kiinnitettävä huomiota tilaajien ja käyttäjien oikeuksien suojaan, palvelun käytettävyyteen ja maantieteellisten vaikutusten laajuuteen."» Esimerkkejä on luetteloitu MPS:ssä Toimivuushäiriö Toimivuushäiriöistä ilmoitetaan määräyksen 66 mukaisesti» Tapahtuma, joka estää toimivuuden tai häiritsee sitä olennaisesti Ilmoittamiskynnys:» Vakavuusluokkien A, B ja C häiriöistä, jotka ovat kestäneet yhtäjaksoisesti vähintään 30 minuuttia, ilmoitetaan Viestintävirastolle A- ja B-luokan häiriöistä ilmoitetaan kuten ennenkin C-luokan häiriöistä aletaan toimittaa ensi- ja seurantailmoituksia viimeistään 1.7. Loppuraportointi (A, B ja C) kuten ennenkin» Vakavuusluokan D häiriöistä ei tarvitse (kuten ei ennenkään) ilmoittaa Viestintävirastolle 22
Tietoturvahäiriöistä ilmoittaminen Ilmoitus 24 tunnin kuluessa» Jollei pystytä heti ilmoittamaan kaikkia tietoja Tehtävä alustava ilmoitus 24 tunnin kuluessa Päivitettävä tietoja viimeistään 3 päivän kuluessa Jo ilmoitettuja tietoja päivitetään tarpeen mukaan ja mahdollisimman pian tietojen muututtua Ilmoitus tehdään määräyksen 66 liitteellä 2 (https://www.viestintavirasto.fi/attachments/maaraykset/m66_liite2.dot)» Tai vapaamuotoisesti, kunhan kaikki liitteessä pyydetyt tiedot ilmoitetaan Ilmoitus toimitetaan osoitteeseen cert@ficora.fi» Tarvittaessa voi ilmoittaa puhelimitse 23
Toimivuushäiriöistä ilmoittaminen perustuu vakavuusluokitteluun Häiriötilanteen vakavuusluokka A B C D Häiriötilanteen vaikutus Häiriötilanne estää: 1) 100 000 käyttäjän yleisen puhelinpalvelun toimintaa tai 2)puhelinpalvelun toimintaa 60 000 km² yhtenäisellä maantieteellisellä alueella ja toimivuushäiriö vaikuttaa 25 000 käyttäjään tai 3) 200 000 käyttäjän internetyhteyspalvelun toimintaa tai 4)internetyhteyspalvelun toimintaa 60 000 km² yhtenäisellä maantieteellisellä alueella ja toimivuushäiriö vaikuttaa 25 000 käyttäjään tai 5) 200 000 käyttäjän tekstiviestipalvelun toimintaa tai 6) 500 000 käyttäjän sähköpostipalvelun toimintaa tai 7) 500 kpl matkaviestinverkon tukiaseman toimintaa yhtenäisellä maantieteellisellä alueella. Häiriötilanne estää: 1) 10 000 käyttäjän yleisen puhelinpalvelun toimintaa tai 2)puhelinpalvelun toimintaa 20 000 km² yhtenäisellä maantieteellisellä alueella tai 3) 50 000 käyttäjän internetyhteyspalvelun toimintaa tai 4)internetyhteyspalvelun toimintaa 20 000 km² yhtenäisellä maantieteellisellä alueella tai 5) 50 000 käyttäjän tekstiviestipalvelun toimintaa tai 6) 200 000 käyttäjän sähköpostipalvelun toimintaa tai 7) 200 000 käyttäjän muun viestintäpalvelun toimintaa tai 8) 100 kpl matkaviestinverkon tukiaseman toimintaa yhtenäisellä maantieteellisellä alueella. Häiriötilanne estää: 1) 1 000 käyttäjän yleisen puhelinpalvelun toimintaa tai 2) 1 000 käyttäjän internetyhteyspalvelun toimintaa tai 3) 1 000 käyttäjän tekstiviestipalvelun toimintaa tai 4) 50 000 käyttäjän sähköpostipalvelun toimintaa tai 5) 50 000 käyttäjän muun viestintäpalvelun toimintaa tai 6) 10 kpl matkaviestinverkon tukiaseman toimintaa yhtenäisellä maantieteellisellä alueella. Häiriötilanne estää: 1)< 1 000 käyttäjän yleisen puhelinpalvelun toimintaa tai 2)< 1 000 käyttäjän internetyhteyspalvelun toimintaa tai 3)< 1 000 käyttäjän tekstiviestipalvelun toimintaa tai 4)< 10 kpl langatonta internetyhteyspalvelua tarjoavan tukiaseman toimintaa tai 5)< 50 000 käyttäjän sähköpostipalvelun toimintaa tai 6)< 50 000 käyttäjän muun viestintäpalvelun toimintaa tai 7)< 10 kpl matkaviestinverkon tukiaseman toimintaa yhtenäisellä maantieteellisellä alueella. 24
Häiriötilanteen vaikutus palveluun Häiriötilanteen vakavuusluokka Radio: käyttäjä ei pysty seuraamaan lähetystä, koska: 1)äänen laatu ei ole riittävä tai ääni puuttuu kokonaan tai 2)vaaratiedotteiden välitys RDS-järjestelmän avulla ei toimi. TV: käyttäjä ei pysty seuraamaan lähetystä, koska: 1)kuva puuttuu tai 2)suomen- tai ruotsinkielinen äänikomponentti puuttuu. TV: käyttäjä ei saa kaikkia tarjolla olevia palveluita, koska: 1)teksti-TV ei toimi tai 2)suomen- tai ruotsinkielinen tekstitys ei toimi tai 3)äänitekstitys ei toimi tai 4)tekstitys kuulorajoitteisille ei toimi. TV: käyttäjä ei saa kaikkia tarjolla olevia palveluita, koska: 1)EPG ei toimi tai 2)kuvan ja äänen ajastus ei toimi. A B C D A B C D B C D C D Häiriötilanteen vaikutuspiiriin kuuluu: 1) 300 000 käyttäjää tai 2) 60 000 km² yhtenäinen maantieteellinen alue. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 100 000 käyttäjää tai 2) 20 000 km² yhtenäinen maantieteellinen alue. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1)< 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 300 000 käyttäjää tai 2) 60 000 km² yhtenäinen maantieteellinen alue. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 100 000 käyttäjää tai 2) 20 000 km² yhtenäinen maantieteellinen alue. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1)< 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 100 000 käyttäjää tai 2) 20 000 km² yhtenäinen maantieteellinen alue. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1)< 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1)< 50 000 käyttäjää. 25
Toimivuushäiriöistä ilmoittaminen (1/3) Ilmoitusajankohdat Ensi-ilmoitus» A-luokka: 1 tunnin kuluessa häiriön havaitsemisesta» B-luokka: 3 tunnin kuluessa» C-luokka: 1 arkipäivän kuluessa Seurantailmoitukset» A, B ja C: Korjaustoimenpiteistä on pidettävä virasto ajan tasalla ja jos vaikutukset palveluun ovat olennaisesti muuttuneet, ilmoitetaan viipymättä Kuitenkin aina A-luokassa: Jos ei ole korjattu 3 tunnissa, ilmoitetaan miksi ja uusi korjausaika-arvio Kuitenkin aina B-luokassa: Jos ei ole korjattu 12 tunnissa, ilmoitetaan miksi ja uusi korjausaika-arvio» A, B ja C: Kun korjattu, ilmoitus viipymättä Loppuraportti» A, B ja C: viikon kuluessa häiriön havaitsemisesta 26
Toimivuushäiriöistä ilmoittaminen (2/3) Ilmoituskanavat HHJ, viat@ficora.fi ja 0295 390 800» Huom! Ei enää erillistä loppuraporttien sähköpostiosoitetta! Ensi-ilmoitus:» A-luokka: HHJ tai sähköposti ja aina lisäksi puhelinsoitto» B- ja C-luokka: HHJ, sähköposti tai puhelinsoitto Seurantailmoitus:» A-luokka: HHJ tai sähköposti ja kun korjattu, lisäksi puhelinsoitto» B ja C-luokka: HHJ tai sähköposti (tarvittaessa puhelin) Loppuraportti:» A, B ja C: HHJ tai sähköposti 27
Toimivuushäiriöistä ilmoittaminen (3/3) Ilmoitettavat tiedot Ensi-ilmoitus (vapaamuotoinen):» Häiriön arvioitu kesto,» viestintäverkko tai -palvelu, johon häiriötilanne vaikuttaa,» kuvaus siitä, miten häiriötilanne vaikuttaa viestintäpalveluun,» häiriötilanteen vakavuusluokka (A, B vai C),» arvio häiriötilanteen maantieteellisestä vaikutusalueesta,» arvio vaikutuksista hätäliikenteeseen,» lyhyt selvitys teleyrityksen tiedossa olevista häiriötilanteeseen johtaneista syistä ja vikaantuneista viestintäverkkojen ja -palvelujen komponenteista ja» teleyrityksen yhteystiedot viasta tai häiriöstä mahdollisesti pyydettäviä lisäselvityksiä varten. Seurantailmoitus (vapaamuotoinen):» Kuvaus muutoksista/tilanteen kehittymisestä Loppuraportti:» Määräyksen 66 liitteen 3 lomakkeella (https://www.viestintavirasto.fi/attachments/maaraykset/m66_liite3.dot) 28
Tilastointi Määräyksen 66 luku 5 29
Muutokset suhteessa aiempiin vaatimuksiin Aiemmin tilastointivelvoite koski tarkalleen vain D- luokan häiriöitä» Automaattisen tiketeistä tehtävän tilastoinnin mahdollistamiseksi nyt tilastoidaan kaikki häiriöt (A, B, C ja D) Tilastointisyklit määriteltiin Määräyksessä viitataan liitteistä löytyviin valmiisiin tilastopohjiin» Millaisia tilastoja häiriötilanteista tulee tarkalleen laatia Hienojakoista jaottelua yhdisteltiin ja osin keskityttiin esim. keskeisiin viestintäpalveluihin Uudet tilastointivelvoitteet astuvat voimaan 1.7. 30
Kaksi tilastointikategoriaa Tietoturvatilastot Neljännesvuosittain» Teleyrityksen käsittelemien tietoturvahäiriötapausten kokonaismäärä» Tietoturvahäiriötapausten aiheuttamien jatkotoimenpiteiden määrä toimenpidetyypeittäin Määräyksen liite 7 Toimivuustilastot Neljännesvuosittain» Asiakkaiden ilmoittamat toimivuushäiriöt Määräyksen liite 4» Verkonvalvonnan havaitsemien häiriöiden korjausajat Vuosittain Määräyksen liite 5» Verkonvalvonnan havaitsemien häiriöiden syyt viestintäverkon tai - palvelun komponenteittain Määräyksen liite 6 31
Esimerkki: Asiakkaiden ilmoittamat toimivuushäiriöt (määräyksen liite 4) Kohdeviestintäpalvelut Aiheellinen (lkm) Aiheeton (lkm) Yhteensä (lkm) Kiinteän verkon puhelinpalvelu (PSTN ja VoIP) Kiinteän verkon internetyhteyspalvelu (xdsl, Ethernet, Kaapelimodeemi, FTTH ja HomePNA) Matkaviestinpalvelut (puhe, data, lyhytviestit) Muu langaton verkko (esim. satelliitti, WiMAX, WLAN, jne.) Sähköposti Joukkoviestintäpalvelut Kaapelitelevisio Antennitelevisio IPTV Radio 32
Määräys 67 Teletoiminnan tietoturvasta 33
25 :ää jaettuna 7 lukuun Luku 1 Yleiset säännökset 1 Määräyksen tarkoitus 2 Soveltamisala 3 Määritelmät Luku 2 Kaikkien verkkojen ja palvelujen yleiset vaatimukset 4 Tietoturvallisuuden huomioiminen 5 Riskien hallinta 6 Tietoaineistot 7 IP-osoitteiden dokumentointi 8 Hallintaverkon ja hallintayhteyksien liikenne Luku 3 Rajapintojen erityiset vaatimukset 9 Yhteenliittämis- ja asiakasrajapintojen häiriöiden estäminen ja niiltä suojautuminen 10 Tarpeettomien palvelujen ja protokollien sulkeminen 11 IP-liikenteen estäminen yhteenliittämisrajapinnoissa 12 IP-liikenteen estäminen asiakasrajapinnassa Luku 4 Internetyhteyspalvelujen erityiset vaatimukset 13 Internetyhteyspalvelujen liikennöinnin eriyttäminen 14 Kuluttajaliittymistä lähtevän sähköpostiliikenteen ohjaus 15 Haitallisen liikenteen suodatusvelvollisuus 16 Internetyhteyspalveluliittymän irtikytkeminen 34
25 :ää jaettuna 7 lukuun Luku 5 Sähköpostipalvelujen erityiset vaatimukset 17 Sähköpostipalvelujen yhteystiedot ja osoiteresurssien hallinta 18 Sähköpostipalvelujen erityinen suodatusvelvollisuus 19 Avoimet sähköpostin välityspalvelimet 20 Asiakkaan ja sähköpostipalvelimen välinen yhteys Luku 6 Asiakkaille tiedottaminen 21 Yleinen tiedotusvelvollisuus tietoturvatoimenpiteistä 22 Internetyhteyspalvelun erityiset tiedotusvelvollisuudet 23 Internetyhteyspalvelun erityiset tiedotusvelvollisuudet Luku 7 Voimaantulosäännökset 24 Voimaantulo 25 Tiedonsaanti ja julkaiseminen https://www.viestintavirasto.fi/ohjausjavalvonta/laitmaarayksetpaatokset/ maaraykset/maarays67teletoiminnantietoturvasta.html 35
Ei merkittäviä vaatimustasojen muutoksia Yksi uusi velvoite» Hallintaliikenteen erottaminen muusta liikenteestä (8 ) Sähköpostipalveluspesifiset toimivuuden ja laadun seurannan velvoitteet poistettiin» Yleiset velvoitteet määräyksissä 58 ja 66 Dokumentointivaatimukset konkretisoituivat» Aiemmin: "Dokumentoinnissa on kuvattava tekninen toteutus sillä tarkkuudella, että voidaan todeta, ovatko palvelut niille asetettujen vaatimusten mukaisia."» Nyt esim.: "On ylläpidettävä ajantasaista dokumentaatiota käytössä olevista suodatustoimenpiteistä" 36
www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi