Määräykset 66 ja 67. Uudet määräykset teletoiminnan häiriötilanteista ja tietoturvasta



Samankaltaiset tiedostot
Loppuraportti toimivuuden häiriötilanteesta

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

Määräys VIESTINTÄVERKKOJEN JA -PALVELUJEN YLLÄPIDOSTA SEKÄ MENETTELYSTÄ JA TIEDOTTAMISESTA VIKA- JA HÄIRIÖTILANTEISSA

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

Määräys teletoiminnan tietoturvasta

Verkkotunnusvälittäjän vastuut ja velvollisuudet. Verkkotunnuspäivä,

Tietoyhteiskuntakaaren käsitteistöä

Määräys teletoiminnan tietoturvasta

Tiedottaminen hätäliikenteen häiriöistä Viestintäviraston suosituksia

Määräys teletoiminnan häiriötilanteista

Abuse-seminaari

Määräyksen 67 perustelut ja soveltaminen

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Viestintävirastolle toimitettavat kiinteiden tiedonsiirtoliittymien saatavuustiedot

Määräyksen 66 perustelut ja soveltaminen

Viestintäviraston tilannekuvajärjestelmät. Timo Lehtimäki Tulosalueen johtaja Internet ja tietoturva/viestintävirasto

Viestintäviraston tilannekuvahanke TIKU2012+ Pertti Hölttä

Määräyksen 66 perustelut ja soveltaminen

Viestinnän tulevaisuus

Tekninen ohjaus ja valvonta. Suomen Seutuverkot kevät seminaari 2013

TIKU-tietopyynnön vastausohje

Viestintävirastolle toimitettavat kiinteiden tiedonsiirtoliittymien saatavuustiedot

parlamentin ja neuvoston direktiivi 2002/21/EY ("puitedirektiivi") EYVL 108, , s. 33.

OHJE 4/ Dnro 1903/01/2005 TERVEYDENHUOLLON LAITTEESTA JA TARVIKKEESTA TEHTÄVÄ KÄYTTÄJÄN VAARATILANNEILMOITUS

Lokitietojen käsittelystä

MPS 57 MÄÄRÄYKSEN 57 PERUSTELUT JA SOVEL- TAMINEN

Viestintäverkon rakentaminen/vika- ja häiriötilanteet

Ohjeet ja suositukset

Määräys SÄHKÖPOSTIPALVELUJEN TIETOTURVASTA JA TOIMIVUUDESTA. Annettu Helsingissä 19 päivänä syyskuuta 2008

Asiakaspalvelun laatua koskevan tiedon julkaisuvelvollisuus

IDA-tallennuspalvelun käyttölupahakemus

Palvelukuvaus Vaihtotilaus Versio:

Määräys viestintäverkkojen ja -palveluiden yhteentoimivuudesta

Määräyksen 11 uudistaminen

PÄÄTÖS ILMOITUKSEN JOHDOSTA. Annettu julkipanon jälkeen Päätös ympäristönsuojelulain 60 :n mukaisesta meluilmoituksesta

Maa- ja metsätalousministeriö Luonnonvaraosasto Risto Lampinen ja Harri Kukka

VIESTINTÄMARKKINALAINSÄÄDÄNNÖN SOVELTAMINEN LANGATTOMIEN LAAJA- KAISTAYHTEYKSIEN TARJONTAAN

Poikkeavat tapahtumat

/539/2004 VIESTINTÄVIRASTON PÄÄTÖS ULKOMAANPUHELUIDEN TARJOAMISESTA ALKUISESTA NUMEROSTA

Tietoturvaa verkkotunnusvälittäjille

1(5) Lisätietoja toimiluvista ja hakumenettelystä on nähtävillä valtioneuvoston verkkosivuilla osoitteessa xxx.

Tietosuojailmoitus Tapahtumat

Terveydenhuollon laitteesta ja tarvikkeesta tehtävät valmistajan vaaratilanneilmoitukset. Laki terveydenhuollon laitteista ja tarvikkeista 15.

PÄÄTÖS ILMOITUKSEN JOHDOSTA. Annettu julkipanon jälkeen Päätös ympäristönsuojelulain 60 :n mukaisesta meluilmoituksesta

Määräys PUHELINNUMERON SIIRRETTÄVYYDESTÄ. Annettu Helsingissä 23 päivänä tammikuuta 2006

Henkilötietojen käsittelyn dokumentointi Mitä tulisi dokumentoida? LOTTA YLÄ-SULKAVA

Lisätietoja palveluntarjoajan velvollisuuksista löytyy Turvallisuus- ja kemikaaliviraston verkkosivuilta (

Asukastilaisuus puhelimen kuuluvuus ja tv:n näkyvyysasioista Karigasniemen kylätalo

Määräys VIESTINTÄVERKON RAKENTEESTA, LIITYNTÄPISTEISTÄ, HF (HUMAN FACTORS)-NÄKÖKOHDISTA, TÄRKEYSLUOKITTELUSTA JA VARMISTAMISESTA.

Viestintäviraston määräykset ja huomioita seutuverkkojen tarkastuksista

Valtion ylimpiä virkamiehiä koskeva ilmoitus sidonnaisuuksista (Valtion virkamieslain 26 :n 1-4 kohdissa tarkoitetut virat)

Määräys hätäliikenteen teknisestä toteutuksesta ja varmistamisesta

Laadukas sisäverkko monipuolisten viestintäpalvelujen perusta. Viestintämarkkinapäivä Ohjaus-ryhmän päällikkö Jukka-Pekka Juutinen

Viestintävirasto 1 (5) Viestintämarkkinat ja palvelut

70. Viestintävirasto

MÄÄRÄYKSEN 9 PERUSTELUT JA SOVELTAMINEN TIETOTURVALOUKKAUSTEN ILMOITUSVELVOLLISUUDESTA YLEISESSÄ TELETOIMINNASSA

Varmaa ja vaivatonta viestintää

Avoimen hallinnon edistäminen LVM:n hallinnonala. Kaisa Leena Välipirtti

Abuse-toiminnan ajankohtaiset ilmiöt

Julkaistu Helsingissä 2 päivänä huhtikuuta /2014 Sosiaali- ja terveysministeriön asetus

asuntoluottodirektiivin mukaisista luotonvälittäjiä koskevista notifikaatioista

EU Tietosuoja-asetus (GDPR) pähkinänkuoressa palokunnille

EU:n sähköisen viestinnän sääntelykehyksen uudistaminen

HENKILÖTIETOJEN KÄSITTELYÄ KOSKEVA LIITE

Määräyksen 58 perustelut ja soveltaminen

TUKIJAn lausuntomenettely biopankin perustamisen edellytyksenä. Tiedotus- ja keskustelutilaisuus biopankkilain toimeenpanosta, 19.8.

Viestintävirasto 1 (5) Viestintämarkkinat ja palvelut

Ohjeita sijaismaksajille: Henkilökohtaisten avustajien työttömyysvakuutusmaksut

Määräys HÄTÄLIIKENTEEN OHJAUKSESTA JA VARMISTAMISESTA. Annettu Helsingissä 5 päivänä toukokuuta 2011

Henkilötiedot ja tietosuoja kotipalveluyrityksissä

Verkkotunnusvälittäjän vastuut ja velvollisuudet. fi uudistuu 2016-kiertue Lakimiehet Sanna Sahlman ja Kirsi Sunila-Putilin

KOMISSION ASETUS (EU)

MÄÄRÄYKSEN 56/2007 M PERUSTELUT JA SOVELTAMINEN MÄÄRÄYS TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

Luku A - Kaikkia viestintäverkkoja ja -palveluja koskevat kysymykset

LSPeL Porin toiminta-alueen kevätseminaari

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Mitä palvelupaikka-asetus tarkoittaa toimijoille. Sääntelyelimen sidosryhmäinfo , Mertti Anttila

Päätösluonnos huomattavasta markkinavoimasta kiinteään puhelinverkkoon laskevan puheliikenteen tukkumarkkinoilla

Kansainvälisesti toteutetun palvelun tietoturvasta tiedottaminen. Viestintäviraston julkaisuja 205/2014 O

Varmaa ja vaivatonta

PUHELINNUMERON SIIRRETTÄVYYS KIINTEÄN VERKON JA MATKAVIESTINVERKON VÄLILLÄ. Viestintäviraston suosituksia 314/2008 S

Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista

Viestintäverkkojen ja - palvelujen saatavuus. Joonas Orkola Toimialatieto

kaikki muut väärään osoitteeseen tulleet viestit tulee palauttaa lähettäjälle.

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Axel Voss PPE-ryhmän puolesta

Mobiililaitteiden tietoturva

Sähköisen viestinnän tietosuojalaki (516/2004)

Kansainvälisesti toteutetun palvelun tietoturvasta tiedottaminen

LIIKENNE- JA VIESTINTÄMINISTERIÖ Muistio Liite 1 Viestintäneuvos Kaisa Laitinen

Määräys TILAAJAN NUMEROTIETOJEN SIIRROSTA VIESTINTÄVERKOSSA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

Viestintäviraston kannanotto taajuusresurssien jaosta mobiililaajakaistaliittymille verkkoneutraliteettisääntelyn puitteissa

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Standardi RA4.2. Operatiivisiin riskeihin liittyvien tapahtumien ilmoittaminen Rahoitustarkastukselle. Määräykset ja ohjeet

Määräys teleliikenteen estoluokista

Salon kaupunki / /2018

Määräys 4/2010 1/(6) Dnro 6579/03.00/ Terveydenhuollon laitteesta ja tarvikkeesta tehtävä ammattimaisen käyttäjän vaaratilanneilmoitus

Salon kaupunki / /2018

Ohje säännöllisen henkilöliikenteen muutostietojen ilmoittamisesta

POTILASASIAKIRJASSA OLEVAN TIEDON ANTAMINEN POTILAALLE

Transkriptio:

Määräykset 66 ja 67 Uudet määräykset teletoiminnan häiriötilanteista ja tietoturvasta

Määräysperusta Mikä muuttui? Ketä velvoittaa? 2

5,5 vanhaa määräystä korvattiin 1.1. alkaen kahdella uudella Häiriötilannemääräys (M66)» Aiempi M57» Aiempi M9» Osa aiempaa M13 (tilastointi)» Osa aiempaa M47 Tietoturvamääräys (M67)» Valtaosa aiemman M28 lukua 1» Valtaosa aiempaa M11» Valtaosa aiempaa M13» Osa aiempaa M47 Eli määräys kokoaa yhteen kaikki ylläpitoa ja erilaisten häiriötilanteiden (vikojen, häiriöiden ja tietoturvaloukkausten) hallintaa sekä niistä ilmoittamista koskevat velvoitteet Eli määräys kokoaa yhteen kaikki tietoturvan suunnittelua ja toteuttamista koskevat velvoitteet 3

Määräykset 66 ja 67 koskevat teleyrityksiä Yleisen teletoiminnan harjoittamista (eli teleyrityksiä)» Niitä, jotka tarjoavat verkkopalvelua (eli verkkoa viestien siirtoon) tai viestintäpalvelua (eli viestien siirtämistä) ennalta rajaamattomalle käyttäjäpiirille Määräykset eivät koske muita viestinnän välittäjiä» Eli yhteisötilaajaa ja sellaista muuta tahoa, joka välittää sähköistä viestintää muutoin kuin henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin Esimerkkejä teletoiminnasta: https://www.viestintavirasto.fi/ohjausjavalvonta/ohja uksenjavalvonnankohteetjatavat/tulkintaohjeitatoimij oistajapalveluista/esimerkkejateletoiminnasta.html 4

Määräyksiin liittyy perustelut ja soveltaminen -muistio eli MPS» jossa neuvotaan, miten määräyksen vaatimustason voi toteuttaa MPS sisältää» suosituksia hyvistä käytännöistä ja» kuvauksia viraston vakiintuneista tulkinnoista MPS ei ole velvoittava asiakirja» vaatimukset ovat itse määräyksessä 5

Määräys 66 Teletoiminnan häiriötilanteista 6

Yleistä Keskeiset muutokset ja määräyksen rakenne 7

Prosessien määrä vähenee (1/2) Aiemmin Neljässä eri määräyksessä ja yhdessä komission asetuksessa oli vaatimuksia:» Erilaisten häiriöiden havaitsemisesta ja hallinnasta» Viranomaisille ja käyttäjille häiriöiden ilmoittamisesta Yhteensä kolme erilaista prosessia ilmoituksille Henkilötietojen tietoturvaloukkaukset (EU 611/2013) Ilmoittaminen käyttäjille Ilmoittaminen viranomaisille Muut tietoturvaloukkaukset (M9 + M13 + M47) Kyky havaita ja hallita loukkauksia tai niiden uhkia Ilmoittaminen käyttäjille Ilmoittaminen viranomaisille Vika- ja häiriötilanteet (M57) Kyky havaita ja hallita vika- ja häiriötilanteita Ilmoittaminen käyttäjille Ilmoittaminen viranomaisille 8

Prosessien määrä vähenee (2/2) Uudessa määräyksessä häiriö on joko Tietoturvahäiriö Toimivuushäiriö Henkilötietojen tietoturvaloukkaus Muu merkittävä tietoturvaloukkaus tai sellaisen uhka Tapahtuma, joka estää toimivuuden tai häiritsee sitä olennaisesti Velvoitteet kyvykkyydestä havaita ja hallita näitä häiriöitä ovat yhteiset Käyttäjille ja viranomaisille ilmoittamisen käytännön prosessit jakautuvat EU-asetuksen 611/2013 mukaan Entiseen määräykseen 57 pohjautuen 9

Kaksi häiriötilannetyyppiä Tietoturvahäiriö Tilanteet, joissa teleyrityksen palveluun kohdistuu tai sitä uhkaa merkittävä tietoturvaloukkaus» Pitkälti entinen M9 / SVTsL 21 Henkilötietojen tietoturvaloukkaus» Tilanne, joka johtaa unionissa käsiteltyjen henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai käyttöön antamiseen Esimerkkejä» Verkon määrittelytietojen joutuminen vääriin käsiin» Reititykseen vaikuttavat hyökkäykset» Äkillinen liikenteen kasvu harvinaisiin ulkomaansuuntiin» Tietoturva-aukko, jonka kautta pääsee teleyrityksen asiakasrekisteriin Toimivuushäiriö Tapahtumat, jotka estävät viestintäpalvelun toimivuuden tai häiritsevät sitä olennaisesti» Pitkälti entinen M57 Loppukäyttäjille näkyvä häiriö palvelun käytettävyydessä Esimerkkejä» Pitkittynyt sähkökatkos tiputtaa tukiasemia verkosta» Palvelunestohyökkäys tukkii verkon käyttökelvottomaksi» Kaapelikatkos sekä ensisijaisella että varmistavalla reitillä» Tulipalo tuhoaa laitetilan 10

24 :ää jaettuna 6 lukuun Luku 1 Yleiset säännökset Luku 2 Häiriötilanteiden havainnointi ja hallinta - On kyettävä havaitsemaan häiriöitä (eli on oltava verkonvalvonta) - On kyettävä vastaanottamaan myös ulkoisia häiriöilmoituksia - On oltava prosessit häiriöiden vaikutusten poistamiseen - Muutokset on toteutettava suunnitelmallisesti ja riittävällä aikavarauksella Luku 3 Ilmoittaminen käyttäjälle - Mistä ja milloin viimeistään on ilmoitettava? - Miten on ilmoitettava (ilmoituskanavat)? - Mitä on ilmoitettava? Luku 4 Ilmoittaminen Viestintävirastolle - Mistä on ilmoitettava (ml. toimivuushäiriöiden vakavuusluokittelu)? - Milloin on ilmoitettava? - Miten on ilmoitettava? - Mitä on ilmoitettava? Luku 5 Tilastointi - Häiriötilastot, jotka on neljännesvuosittain ja vuosittain tuotettava Luku 6 - Voimaantulosäännökset https://www.viestintavirasto.fi/ohjausjav alvonta/laitmaarayksetpaatokset/maaray kset/maarays66teletoiminnanhairiotilant eista.html 11

Häiriötilanteiden havainnointi ja hallinta Määräyksen 66 luku 2 12

"On kyettävä havaitsemaan häiriöitä ja reagoimaan niihin" 4 Toimivuuden ja tietoturvan valvonta 5 Toimivuutta ja tietoturvaa häiritsevien tai uhkaavien tilanteiden hallinta 6 Hallinnan toimintakyvyn alenemasta ilmoittaminen Viestintävirastolle 7 Häiriönhallinnan yhteystietojen toimittaminen Viestintävirastolle 8 Asiakasilmoitusten hallinta 9 Muutostenhallinta Velvoitteet kerättiin aiemman määräyksen 57 pohjalle Uusi määräys huomioi myös tietoturvan Ei merkittäviä vaatimustasojen muutoksia 13

Kaksi virastolle ilmoitusvelvollisuutta Hallinnan toimintakyvyn alenemasta ilmoittaminen Viestintävirastolle (6 )» Isojen teleyritysten on ilmoitettava, jos verkonhallintakyky on uhattuna tai menetetään Esim. lakko, pandemia, tulipalo verkonvalvontakeskuksessa, haittaohjelma hallintalaitteistossa, jne.» Ilmoitus tehdään ilman aiheetonta viivästystä joko HHJ:llä tai sähköpostilla (vapaamuotoinen) osoitteeseen viat@ficora.fi» Lisäksi soitto (0295 390 800) Häiriönhallinnan yhteystietojen toimittaminen Viestintävirastolle (7 )» Kaikkien teleyritysten on ilmoitettava häiriönhallintatoimintojensa yhteystiedot virastolle» Määräyksen liite 1 (https://www.viestintavirasto.fi/attachments/maaraykset/m66_liite1.dot) sähköpostilla osoitteeseen yhteystiedot66@ficora.fi Huom! Sähköpostiosoite muuttunut!» Ilmoitus on tehtävä viipymättä, kun tiedoissa tapahtuu muutoksia Aiemmin edellytettiin joka vuosi 14

Ilmoittaminen käyttäjälle Määräyksen 66 luku 3 15

Muutokset suhteessa aiempiin vaatimuksiin Toimivuushäiriöiden käyttäjätiedotusvaatimukset ennallaan Tietoturvahäiriöiden käyttäjätiedotusvaatimukseen pieniä tarkennuksia» Menettely määräytyy EU-asetuksen 611/2013 mukaan» Käytännössä ilmoitettavat tiedot on määritelty aiempaa tarkemmin 16

Kaksi ilmoitusmenettelyä (1/3) Tietoturvahäiriö Kaikista tietoturvahäiriöistä ilmoitetaan komission asetuksen 611/2013 mukaisesti» Henkilötietojen tietoturvaloukkaus» Muu merkittävä tietoturvaloukkaus tai sellaisen uhka Tiedottamiskynnys:» Jos henkilötietojen tietoturvaloukkauksella on todennäköisiä haittavaikutuksia henkilön henkilötiedoille tai henkilöjen yksityisyydelle Arviointiperusteita käsitellään asetuksen 3 artiklassa» Jos kyseessä on muutoin käyttäjälle merkittävä tilanne Esim. suojautuminen edellyttää käyttäjätoimenpiteitä» Esimerkkejä on luetteloitu MPS:ssä Toimivuushäiriö Kaikista toimivuushäiriöistä ilmoitetaan määräyksen 66 mukaisesti» Tapahtuma, joka estää toimivuuden tai häiritsee sitä olennaisesti Tiedottamiskynnys:» Kaikkien palvelujen häiriöt: Jos kestää yhtäjaksoisesti yli 60 minuuttia ja vaikuttaa vähintään 250 käyttäjään» Pitkäkestoiset peruspalvelujen häiriöt: Jos estää täysin puhelin-, tekstiviesti-tai internetyhteyspalvelun käytön yhtäjaksoisesti viikon ajan, on tiedotettava vaikutta vaikuttaisi alle 250 käyttäjään 17

Kaksi ilmoitusmenettelyä (2/3) Tietoturvahäiriö Tiedottamisen ajankohta:» Ilman aiheetonta viivästystä Tiedotuskanavat:» Mahdollisimman suoraan niille käyttäjille, joita asia koskee» Tarvittaessa myös yleisiä tiedotteita voidaan käyttää Toimivuushäiriö Tiedottamisen ajankohta:» Viipymättä Tiedotuskanavat:» Kaikkien palvelujen häiriöt (60 min/250 käyttäjää): Aina tekstimuotoinen tiedote verkkosivuilla Karttamuotoinen tiedote verkkosivuilla mahdollisuuksien mukaan Aina saatava tietoa puhelimitse» Pitkäkestoiset peruspalvelujen häiriöt (viikko/myös alle 250 käyttäjää) Suora asiakastiedote mahdollisuuksien mukaan 18

Kaksi ilmoitusmenettelyä (3/3) Tietoturvahäiriö Ilmoitettavat tiedot:» Palveluntarjoajan nimi,» mahdollisen lisätietoja antavan tahon yhteystiedot (esim. asiakaspalvelu),» tiivistelmä häiriöstä,» kuvaus käyttäjälle todennäköisesti aiheutuvista seurauksista,» toimenpiteet, jotka teleyritys on toteuttanut tilanteen vuoksi ja» teleyrityksen suosittelemat toimenpiteet, joilla voidaan lieventää mahdollisia haittavaikutuksia ja niiden mahdolliset kustannukset. Toimivuushäiriö Ilmoitettavat tiedot:» Milloin häiriö on havaittu,» häiriön arvioitu kesto,» mihin palveluun häiriö vaikuttaa,» miten vaikuttaa palvelun käyttöön,» mikä on maantieteellinen vaikutusalue,» lisätietolähteet ja» käyttäjien käytettävissä olevat suojautumistoimenpiteet ja niiden mahdolliset kustannukset. TV- ja radiokanavia tai niiden lisäja oheispalveluja koskevissa tiedotteissa lisäksi:» missä joukkoviestintäverkossa häiriötilanne vaikuttaa ja» mihin TV- ja radiokanaviin häiriö vaikuttaa. 19

Ilmoittaminen Viestintävirastolle Määräyksen 66 luku 4 20

Muutokset suhteessa aiempiin vaatimuksiin Toimivuuden C-luokan häiriöt ensi- ja seurantailmoitusten piiriin» 1.7. alkaen Tietoturvahäiriöiden ilmoittamisvaatimuksia tarkennettu» Menettely määräytyy EU-asetuksen 611/2013 mukaan» Käytännössä ilmoittamisajankohdat ja ilmoitettavat tiedot on määritelty aiempaa tarkemmin Radiotoiminnan harjoittajien virastolle ilmoitusvelvollisuutta rajattu» Ilmoitusvelvollisuus ei enää koske harjoittajia, joiden toimiluvan mukainen väestöpeitto on alle 90 % 21

Tässäkin, kaksi ilmoitusmenettelyä Tietoturvahäiriö Kaikista tietoturvahäiriöistä ilmoitetaan komission asetuksen 611/2013 mukaisesti» Henkilötietojen tietoturvaloukkaus» Muu merkittävä tietoturvaloukkaus tai sellaisen uhka Ilmoittamiskynnys:» Jos henkilötietoihin on kohdistunut tietoturvaloukkaus Vaikka ei olisikaan käyttäjävaikutuksia» Jos kyseessä on muutoin merkittävä tietoturvaloukkaus tai sellaisen uhka Lain perustelut: "Loukkauksen tai sen uhkan merkittävyyttä arvioitaessa on kiinnitettävä huomiota tilaajien ja käyttäjien oikeuksien suojaan, palvelun käytettävyyteen ja maantieteellisten vaikutusten laajuuteen."» Esimerkkejä on luetteloitu MPS:ssä Toimivuushäiriö Toimivuushäiriöistä ilmoitetaan määräyksen 66 mukaisesti» Tapahtuma, joka estää toimivuuden tai häiritsee sitä olennaisesti Ilmoittamiskynnys:» Vakavuusluokkien A, B ja C häiriöistä, jotka ovat kestäneet yhtäjaksoisesti vähintään 30 minuuttia, ilmoitetaan Viestintävirastolle A- ja B-luokan häiriöistä ilmoitetaan kuten ennenkin C-luokan häiriöistä aletaan toimittaa ensi- ja seurantailmoituksia viimeistään 1.7. Loppuraportointi (A, B ja C) kuten ennenkin» Vakavuusluokan D häiriöistä ei tarvitse (kuten ei ennenkään) ilmoittaa Viestintävirastolle 22

Tietoturvahäiriöistä ilmoittaminen Ilmoitus 24 tunnin kuluessa» Jollei pystytä heti ilmoittamaan kaikkia tietoja Tehtävä alustava ilmoitus 24 tunnin kuluessa Päivitettävä tietoja viimeistään 3 päivän kuluessa Jo ilmoitettuja tietoja päivitetään tarpeen mukaan ja mahdollisimman pian tietojen muututtua Ilmoitus tehdään määräyksen 66 liitteellä 2 (https://www.viestintavirasto.fi/attachments/maaraykset/m66_liite2.dot)» Tai vapaamuotoisesti, kunhan kaikki liitteessä pyydetyt tiedot ilmoitetaan Ilmoitus toimitetaan osoitteeseen cert@ficora.fi» Tarvittaessa voi ilmoittaa puhelimitse 23

Toimivuushäiriöistä ilmoittaminen perustuu vakavuusluokitteluun Häiriötilanteen vakavuusluokka A B C D Häiriötilanteen vaikutus Häiriötilanne estää: 1) 100 000 käyttäjän yleisen puhelinpalvelun toimintaa tai 2)puhelinpalvelun toimintaa 60 000 km² yhtenäisellä maantieteellisellä alueella ja toimivuushäiriö vaikuttaa 25 000 käyttäjään tai 3) 200 000 käyttäjän internetyhteyspalvelun toimintaa tai 4)internetyhteyspalvelun toimintaa 60 000 km² yhtenäisellä maantieteellisellä alueella ja toimivuushäiriö vaikuttaa 25 000 käyttäjään tai 5) 200 000 käyttäjän tekstiviestipalvelun toimintaa tai 6) 500 000 käyttäjän sähköpostipalvelun toimintaa tai 7) 500 kpl matkaviestinverkon tukiaseman toimintaa yhtenäisellä maantieteellisellä alueella. Häiriötilanne estää: 1) 10 000 käyttäjän yleisen puhelinpalvelun toimintaa tai 2)puhelinpalvelun toimintaa 20 000 km² yhtenäisellä maantieteellisellä alueella tai 3) 50 000 käyttäjän internetyhteyspalvelun toimintaa tai 4)internetyhteyspalvelun toimintaa 20 000 km² yhtenäisellä maantieteellisellä alueella tai 5) 50 000 käyttäjän tekstiviestipalvelun toimintaa tai 6) 200 000 käyttäjän sähköpostipalvelun toimintaa tai 7) 200 000 käyttäjän muun viestintäpalvelun toimintaa tai 8) 100 kpl matkaviestinverkon tukiaseman toimintaa yhtenäisellä maantieteellisellä alueella. Häiriötilanne estää: 1) 1 000 käyttäjän yleisen puhelinpalvelun toimintaa tai 2) 1 000 käyttäjän internetyhteyspalvelun toimintaa tai 3) 1 000 käyttäjän tekstiviestipalvelun toimintaa tai 4) 50 000 käyttäjän sähköpostipalvelun toimintaa tai 5) 50 000 käyttäjän muun viestintäpalvelun toimintaa tai 6) 10 kpl matkaviestinverkon tukiaseman toimintaa yhtenäisellä maantieteellisellä alueella. Häiriötilanne estää: 1)< 1 000 käyttäjän yleisen puhelinpalvelun toimintaa tai 2)< 1 000 käyttäjän internetyhteyspalvelun toimintaa tai 3)< 1 000 käyttäjän tekstiviestipalvelun toimintaa tai 4)< 10 kpl langatonta internetyhteyspalvelua tarjoavan tukiaseman toimintaa tai 5)< 50 000 käyttäjän sähköpostipalvelun toimintaa tai 6)< 50 000 käyttäjän muun viestintäpalvelun toimintaa tai 7)< 10 kpl matkaviestinverkon tukiaseman toimintaa yhtenäisellä maantieteellisellä alueella. 24

Häiriötilanteen vaikutus palveluun Häiriötilanteen vakavuusluokka Radio: käyttäjä ei pysty seuraamaan lähetystä, koska: 1)äänen laatu ei ole riittävä tai ääni puuttuu kokonaan tai 2)vaaratiedotteiden välitys RDS-järjestelmän avulla ei toimi. TV: käyttäjä ei pysty seuraamaan lähetystä, koska: 1)kuva puuttuu tai 2)suomen- tai ruotsinkielinen äänikomponentti puuttuu. TV: käyttäjä ei saa kaikkia tarjolla olevia palveluita, koska: 1)teksti-TV ei toimi tai 2)suomen- tai ruotsinkielinen tekstitys ei toimi tai 3)äänitekstitys ei toimi tai 4)tekstitys kuulorajoitteisille ei toimi. TV: käyttäjä ei saa kaikkia tarjolla olevia palveluita, koska: 1)EPG ei toimi tai 2)kuvan ja äänen ajastus ei toimi. A B C D A B C D B C D C D Häiriötilanteen vaikutuspiiriin kuuluu: 1) 300 000 käyttäjää tai 2) 60 000 km² yhtenäinen maantieteellinen alue. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 100 000 käyttäjää tai 2) 20 000 km² yhtenäinen maantieteellinen alue. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1)< 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 300 000 käyttäjää tai 2) 60 000 km² yhtenäinen maantieteellinen alue. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 100 000 käyttäjää tai 2) 20 000 km² yhtenäinen maantieteellinen alue. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1)< 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 100 000 käyttäjää tai 2) 20 000 km² yhtenäinen maantieteellinen alue. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1)< 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1) 50 000 käyttäjää. Häiriötilanteen vaikutuspiiriin kuuluu: 1)< 50 000 käyttäjää. 25

Toimivuushäiriöistä ilmoittaminen (1/3) Ilmoitusajankohdat Ensi-ilmoitus» A-luokka: 1 tunnin kuluessa häiriön havaitsemisesta» B-luokka: 3 tunnin kuluessa» C-luokka: 1 arkipäivän kuluessa Seurantailmoitukset» A, B ja C: Korjaustoimenpiteistä on pidettävä virasto ajan tasalla ja jos vaikutukset palveluun ovat olennaisesti muuttuneet, ilmoitetaan viipymättä Kuitenkin aina A-luokassa: Jos ei ole korjattu 3 tunnissa, ilmoitetaan miksi ja uusi korjausaika-arvio Kuitenkin aina B-luokassa: Jos ei ole korjattu 12 tunnissa, ilmoitetaan miksi ja uusi korjausaika-arvio» A, B ja C: Kun korjattu, ilmoitus viipymättä Loppuraportti» A, B ja C: viikon kuluessa häiriön havaitsemisesta 26

Toimivuushäiriöistä ilmoittaminen (2/3) Ilmoituskanavat HHJ, viat@ficora.fi ja 0295 390 800» Huom! Ei enää erillistä loppuraporttien sähköpostiosoitetta! Ensi-ilmoitus:» A-luokka: HHJ tai sähköposti ja aina lisäksi puhelinsoitto» B- ja C-luokka: HHJ, sähköposti tai puhelinsoitto Seurantailmoitus:» A-luokka: HHJ tai sähköposti ja kun korjattu, lisäksi puhelinsoitto» B ja C-luokka: HHJ tai sähköposti (tarvittaessa puhelin) Loppuraportti:» A, B ja C: HHJ tai sähköposti 27

Toimivuushäiriöistä ilmoittaminen (3/3) Ilmoitettavat tiedot Ensi-ilmoitus (vapaamuotoinen):» Häiriön arvioitu kesto,» viestintäverkko tai -palvelu, johon häiriötilanne vaikuttaa,» kuvaus siitä, miten häiriötilanne vaikuttaa viestintäpalveluun,» häiriötilanteen vakavuusluokka (A, B vai C),» arvio häiriötilanteen maantieteellisestä vaikutusalueesta,» arvio vaikutuksista hätäliikenteeseen,» lyhyt selvitys teleyrityksen tiedossa olevista häiriötilanteeseen johtaneista syistä ja vikaantuneista viestintäverkkojen ja -palvelujen komponenteista ja» teleyrityksen yhteystiedot viasta tai häiriöstä mahdollisesti pyydettäviä lisäselvityksiä varten. Seurantailmoitus (vapaamuotoinen):» Kuvaus muutoksista/tilanteen kehittymisestä Loppuraportti:» Määräyksen 66 liitteen 3 lomakkeella (https://www.viestintavirasto.fi/attachments/maaraykset/m66_liite3.dot) 28

Tilastointi Määräyksen 66 luku 5 29

Muutokset suhteessa aiempiin vaatimuksiin Aiemmin tilastointivelvoite koski tarkalleen vain D- luokan häiriöitä» Automaattisen tiketeistä tehtävän tilastoinnin mahdollistamiseksi nyt tilastoidaan kaikki häiriöt (A, B, C ja D) Tilastointisyklit määriteltiin Määräyksessä viitataan liitteistä löytyviin valmiisiin tilastopohjiin» Millaisia tilastoja häiriötilanteista tulee tarkalleen laatia Hienojakoista jaottelua yhdisteltiin ja osin keskityttiin esim. keskeisiin viestintäpalveluihin Uudet tilastointivelvoitteet astuvat voimaan 1.7. 30

Kaksi tilastointikategoriaa Tietoturvatilastot Neljännesvuosittain» Teleyrityksen käsittelemien tietoturvahäiriötapausten kokonaismäärä» Tietoturvahäiriötapausten aiheuttamien jatkotoimenpiteiden määrä toimenpidetyypeittäin Määräyksen liite 7 Toimivuustilastot Neljännesvuosittain» Asiakkaiden ilmoittamat toimivuushäiriöt Määräyksen liite 4» Verkonvalvonnan havaitsemien häiriöiden korjausajat Vuosittain Määräyksen liite 5» Verkonvalvonnan havaitsemien häiriöiden syyt viestintäverkon tai - palvelun komponenteittain Määräyksen liite 6 31

Esimerkki: Asiakkaiden ilmoittamat toimivuushäiriöt (määräyksen liite 4) Kohdeviestintäpalvelut Aiheellinen (lkm) Aiheeton (lkm) Yhteensä (lkm) Kiinteän verkon puhelinpalvelu (PSTN ja VoIP) Kiinteän verkon internetyhteyspalvelu (xdsl, Ethernet, Kaapelimodeemi, FTTH ja HomePNA) Matkaviestinpalvelut (puhe, data, lyhytviestit) Muu langaton verkko (esim. satelliitti, WiMAX, WLAN, jne.) Sähköposti Joukkoviestintäpalvelut Kaapelitelevisio Antennitelevisio IPTV Radio 32

Määräys 67 Teletoiminnan tietoturvasta 33

25 :ää jaettuna 7 lukuun Luku 1 Yleiset säännökset 1 Määräyksen tarkoitus 2 Soveltamisala 3 Määritelmät Luku 2 Kaikkien verkkojen ja palvelujen yleiset vaatimukset 4 Tietoturvallisuuden huomioiminen 5 Riskien hallinta 6 Tietoaineistot 7 IP-osoitteiden dokumentointi 8 Hallintaverkon ja hallintayhteyksien liikenne Luku 3 Rajapintojen erityiset vaatimukset 9 Yhteenliittämis- ja asiakasrajapintojen häiriöiden estäminen ja niiltä suojautuminen 10 Tarpeettomien palvelujen ja protokollien sulkeminen 11 IP-liikenteen estäminen yhteenliittämisrajapinnoissa 12 IP-liikenteen estäminen asiakasrajapinnassa Luku 4 Internetyhteyspalvelujen erityiset vaatimukset 13 Internetyhteyspalvelujen liikennöinnin eriyttäminen 14 Kuluttajaliittymistä lähtevän sähköpostiliikenteen ohjaus 15 Haitallisen liikenteen suodatusvelvollisuus 16 Internetyhteyspalveluliittymän irtikytkeminen 34

25 :ää jaettuna 7 lukuun Luku 5 Sähköpostipalvelujen erityiset vaatimukset 17 Sähköpostipalvelujen yhteystiedot ja osoiteresurssien hallinta 18 Sähköpostipalvelujen erityinen suodatusvelvollisuus 19 Avoimet sähköpostin välityspalvelimet 20 Asiakkaan ja sähköpostipalvelimen välinen yhteys Luku 6 Asiakkaille tiedottaminen 21 Yleinen tiedotusvelvollisuus tietoturvatoimenpiteistä 22 Internetyhteyspalvelun erityiset tiedotusvelvollisuudet 23 Internetyhteyspalvelun erityiset tiedotusvelvollisuudet Luku 7 Voimaantulosäännökset 24 Voimaantulo 25 Tiedonsaanti ja julkaiseminen https://www.viestintavirasto.fi/ohjausjavalvonta/laitmaarayksetpaatokset/ maaraykset/maarays67teletoiminnantietoturvasta.html 35

Ei merkittäviä vaatimustasojen muutoksia Yksi uusi velvoite» Hallintaliikenteen erottaminen muusta liikenteestä (8 ) Sähköpostipalveluspesifiset toimivuuden ja laadun seurannan velvoitteet poistettiin» Yleiset velvoitteet määräyksissä 58 ja 66 Dokumentointivaatimukset konkretisoituivat» Aiemmin: "Dokumentoinnissa on kuvattava tekninen toteutus sillä tarkkuudella, että voidaan todeta, ovatko palvelut niille asetettujen vaatimusten mukaisia."» Nyt esim.: "On ylläpidettävä ajantasaista dokumentaatiota käytössä olevista suodatustoimenpiteistä" 36

www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi