Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku

Samankaltaiset tiedostot
Pilvipalveluiden arvioinnin haasteet

VIRTU ja tietoturvatasot

Laatua ja tehoa toimintaan

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Turvallisuuden lyhyt koulutuspaketti

Toimitilojen tietoturva

OPETUS- JA KULTTUURIMINISTERIÖN TOIMIALAN TIETOHALLINNON YHTEISTYÖKOKOUS

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet Tommi Oikarinen

Vihdin kunnan tietoturvapolitiikka

Virtu tietoturvallisuus. Virtu seminaari

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

Lausunto Julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta pyydämme yleisesti huomioimaan seuraavaa:

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Tutkimuslaitosseminaari

Tietoturvapolitiikka

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Julkaistu Helsingissä 15 päivänä kesäkuuta /2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Valtion IT-palvelukeskuksen tietoturvapalvelujen ajankohtaiset kuulumiset

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Yritysturvallisuuden perusteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

TIETOTURVA- POLITIIKKA

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Teknisen ICT-ympäristön tietoturvataso-ohje

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Suorin reitti Virtu-palveluihin

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Sähköi sen pal l tietototurvatason arviointi

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Tietoturva ja viestintä

Tietoturvakonsulttina työskentely KPMG:llä

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

PK-yrityksen tietoturvasuunnitelman laatiminen

Suomen kulttuurilaitokset

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lokitietojen käsittelystä

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

TIETOTURVAPOLITIIKKA

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

RAKENTAMISEEN LIITTYVIEN SUUNNITTELU- JA KONSULTTIPALVELUJEN TURVALLISUUSSOPIMUS (ESIMERKKI) XX.XX.20 [ASIAKAS] [TOIMITTAJA]

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Ohje arviointikriteeristöjen tulkinnasta

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Yritysturvallisuuden perusteet

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

AVAINBIOTOOPPITIEDON SAATAVUUS

Siilinjärven kunta ja Valtion IT-palvelukeskus

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TALPOL linjaukset TORI-toimenpiteet

HELSINGIN JA UUDENMAAN PYSYVÄISOHJE 3 / (5) SAIRAANHOITOPIIRI Yhtymähallinto

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Henkilötiedot ja tietosuoja kotipalveluyrityksissä

Lokipolitiikka (v 1.0/2015)

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Tietoturvaa verkkotunnusvälittäjille

Tietoturva- ja tietosuojapolitiikka

Tietosuoja-asetus Immo Aakkula Arkistointi

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Transkriptio:

Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku Ryhmäpäällikkö, tietoturvapäällikkö Valtion IT-palvelukeskus VIP tietoturvapalvelut

Esitykseni pääkohtia ovat mm. Lähtötasokysely Miksi tietoturvallisuus on niin hel**tin vaikeaa? Keppiä ja porkkanaa Mitä uutta tietoturva-asetus tuo mukanaan? Tietoaineistojen luokittelusta Miten tietoturvatasot ja tietoturva-asetus liittyvät toisiinsa? Millaista ohjeistusta ja apua on saatavissa? Miten VIPin tietoturvapalvelut voivat auttaa? Kotitehtävän antaminen Lisää keskustelua aiheesta 2

Lähtötasokysely mitä me tiedämme? Käytämme George Horace Gallupin kehittelemistä menetelmistä johdettua tapaa ensin 7 ja sitten 9 kysymystä ja nostatte tassua, jos olette samaa mieltä olkaa rehellisiä, kiitos! Emme valokuvaa tai videoi vastauksianne ja niitä ei tulla käyttämään missään muussa yhteydessä. 3

Lähtötasokysely - tietoaineistot 1. Osaan erottaa työtehtävissäni julkisen tietoaineiston salassa pidettävästä tietoaineistosta? 2. Jos aineisto on luokiteltava, osaan sijoittaa eli luokitella sen olemassa olevan tietoaineistojen luokitteluvaatimusten mukaan oikeaan luokkaan? 3. Organisaatiossamme on kirjalliset ohjeet tietoaineistojen elinkaarenhallinnan mukaiseen toimintaan. 4. Nämä kirjalliset ohjeet on koulutettu henkilöstölle. 5. Henkilöstö sinä mukaan lukien, toimit näiden ohjeiden mukaisesti. 6. Käsittelen säännöllisesti ST II- tai ST I-luokan tietoaineistoja 7. Käsittelen säännöllisesti turvaluokiteltuja tietoaineistoja 4

Lähtötasokysely - tietoturvallisuus 1. Kotonamme on koira. 2. Koiramme toimii vahtikoirana. 3. Asuntoni pihalla on schäfereitä, saksan paimenkoiria ja muita verikoiria valvomassa ja suojaamassa. 4. Asuntoni suojana on miinakenttä. 5. Kotonani on jonkinlainen varashälytin. 6. Kotonani on sähköaita. 7. Olen lukenut organisaationi tietoturvaohjeet. 8. Olen ymmärtänyt ne ja sisäistänyt niiden merkityksen. 9. Noudatan kuuliaisesti em. ohjeita. 5

Tilaisuus, Esittäjä 6

Kultaiset säännöt Käytä talonpoikaisjärkeä. Älä hölmöile - Erityisesti netissä Ja ennen kaikkea sosiaalisessa media Naisilla on pitkä muisti. Norsulla on vielä pidempi. Netti ei unohda koskaan mitään. 7

Mihin tämä pahimmillaan johtaa? Koska tietoturvallisuus koetaan ongelmalliseksi, yritetään sitä ratkaista teknologialla. Hankitaan kaikki mahdolliset hilavitkuttimet ja venäläiset takapuolen päristimet suojaamaan meidän kruunun jalokiviä = tietojamme. Ajatellaan, että nyt se tietoturvallisuus on kunnossa. Suomessa tekninen tietoturvallisuus on pääsääntöisesti hoidettu hyvin, koska se voidaan ostaa rahalla. - Ei koske valitettavasti kaikkia esimerkiksi ulkoisissa käyttöpalveluissa sijaitsevia palveluita Tekninen tietoturvallisuus on vain toinen osa, hallinnollinen tietoturvallisuus on se tärkeämpi ja ongelmallisempi. Sitä ei voi laittaa kuntoon rahalla. Tietoturvallisuuden pitäisi olla ennen kaikkea asennetta ja kulttuuria sekä osa organisaation kaikkia prosesseja. 8

Miksi tietoturvallisuus on niin hankalaa? TOP viisi tietoturvallisuutta haittaavat tekijät lähdeaineistona keskustelut kollegoiden kanssa 1. Tietoturvallisuutta EI ole viety organisaation prosessien osaksi Mikäli tietoturvallisuus on ERIKSEEN mietittävä osa-alue, se ei tule koskaan toimimaan saumattomasti 2. Tietoturvallisuus EI ole muodostunut asenteeksi - Esimerkiksi käyttäjien holtiton nettikäyttäytyminen 3. Tietoturvallisuutta EI nähdä LAATUTEKIJÄNÄ - Tietoturvallisuus = LAATUA! 4. Riskienhallinta EI ole a) toiminnassa ja/tai b) säännönmukaista, vuosikellon mukaista toimintaa 5. Järjestelmien turvallisuutta ja toimittajaa EI auditoida säännöllisesti pääsee syntymään piiloriskejä

Asennekasvatusta!

Riskien arviointi - keskeinen osa TTA ja TTT Jos riskien arviointi ei ole kunnossa, miten tietoturvallisuus voidaan mitoittaa kun mittarit puuttuvat? Tietoturvallisuus pitää olla kunnossa, koska riskit saattavat toteutua (voiko tähän Hakaniemeen rantautua suuri määrä valaita, joka aiheuttaa sellaisia ongelmia, joita emme voi nyt ennakoida? Voiko tulivuorenpurkaus Islannissa sekoittaa Euroopan lentoliikenteen?) Jos tietoturvallisuus on kuitenkin liian tiukka, heikentää se järjestelmien käytettävyyttä ja helppokäyttöisyyttä keskeinen osa luottamuksellisuus eheys saatavuus -ohella Tällöin organisaation suurin riski ei ole välttämättä ulkopuoliset tietomurtautujat, vaan organisaation oma tietohallinto ja tietoturvaorganisaatio! (Tehdään itse palvelunestohyökkäys organisaation omaa toimintaa vastaan ) Käytettävyys Riskien arviointi Tietoturvallisuus

Unohdetaan tietoturva!

Erilainen näkymä - Onko organisaatiosi hallinnollinen tietoturvallisuus millä tasolla? Perus - Pientä tulipaloa pukkaa prosessit ovat oikeaan suuntaan menossa (käytämme sanaa prosessi) - Homma ei toimi aina samalla tavalla Yksittäiset gurut ( Make tai Maija saavat asian näyttämään paremmalta kuin se on Korotettu - Meillä suunnitellaan asioita ja laiva on kurssissa määritelty ja dokumentoitu toiminta Elinkaarenhallinta sitä on! Yksi tehtävä ja monta tekijää = lopputulos on vakioitu Tietoturvallisuus on asenne! Korkea tiedämme myös miten lujaa me mennään ja mihin suuntaan - Me ohjaamme meitä ei ohjata! - Ei jämähdetä paikalle haetaan uusia toimintamalleja - Mittaamme ja vertaamme - Asenne ja resurssit ovat tasapainossa sekä resursseja käytetään järkevästi

Tekninen tietoturvallisuus IDS, IPS, PKI, apumuistien hallinta, terveystarkastukset Salaaminen *.*, prosessit, KVH, valvontakamerat HOTO, palomuurit, kulunvalvonta, kulkukortit

Kumpi teillä on paremmin? A) Hallinnollinen tietoturvallisuus? B) Tekninen tietoturvallisuus? Miksi tekninen? Suomessa on perinteisesti totuttu siihen, että rautaa rajalle eli tietoturvallisuutta voidaan ostaa rahalla. Tosin tämä saattaa antaa virheellisen kuvan siitä, että tietoturvallisuus on kunnossa, koska niin paljon on investoitu tekniikkaan. Jos teknisen järjestelmän käyttöönotto vie 10 htp, saattaa jonkin ison organisaation koko toimintaan vaikuttavan toimintaprosessin juurruttamiseen kulua koko ihmisikä (eikä aina riitä), tai ainakin useita vuosia. Tämän takia tietoturva-asenteen ja kulttuurin luominen on onnistuneen tietoturvatyön keskeisin kulmakivi.

Uusi déjà vu toivottavasti? Kuka ei ole koskaan törmännyt siihen, että jonkin tietojärjestelmän käyttö tuntuu käsittämättömän vaikealta - syyksi väitetään muka tietoturvallisuutta? Niin ja en nyt tarkoita Fortimea tai Travelia Aika harva kyseenalaistaa sitä, miten helpolla / hankalasti muodostamme pankkiyhteyden hoitaaksemme pankkiasioinnin? Luottaisimmeko esimerkiksi sellaiseen pankkiin, joka ei salaisi tietoliikenneyhteyttä ja ei edellyttäisi vahvaa tunnistautumista? Eikö meidän tule edellyttää sitä samaa koko valtionhallintoa koskevilta keskeisiltä tietojärjestelmiltä? 16

Lohdutuksen sana

Kohti tietoturva-asetusta Kommentti ja esimerkki ennen aikaa 1.10.2010 - Taas tuli yksi uusi Vahti-ohje, pitäisi se kai lukea - Älä suotta, ei niillä ole merkitystä kun ne on vain ohjeita, ei niistä tarvitse välittää 18

Tietoturvallisuudessakin taustalla ovat velvoittavuudet ja sopimukset Kuten kaikessa organisaation toiminnassa, liikkeelle tulee lähteä organisaatiota ja järjestelmää koskevien velvoitteiden näkökulmasta. Meillä valtionhallinnossa on huomioitava ennen kaikkea lait ja asetukset, sopimukset sekä esimerkiksi Valtioneuvoston periaatepäätös tietoturvallisuuden kehittämisestä (1.12.2009 voimaan) sekä tietoturva-asetus (1.10.2010) - http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/01_julkaisut/05_v altionhallinnon_tietoturvallisuus/20091126valtio/vnp_valtionhallin non_tietoturvallisuuden_kehittaemisestae.pdf

VNpp - taustalla velvoittavuudet Jatkossa pelkkään omaan napaan tuijottaminen ei enää riitä! Ei riitä, että omat asiat ovat kunnossa, vaan koko ympäristö / verkosto sisältäen yhteistyötahot pitää olla kunnossa.

Tietoaineistojen suojaaminen KAIKEN TOIMINNAN TAUSTALLA ON 0 1

Tietoaineistojen luokittelu Erittäin keskeisessä roolissa on siis TIETO Jotta tietoa voidaan käsitellä oikeaoppisesti sen elinkaaren eri vaiheissa, edellyttää se tietoaineistojen luokittelua. Jotta taas luokittelun ymmärtää, pitää tietää luokitteluperusteet, osaltaan lainsäädäntöä ja velvoitteita, millä periaatteella tiedot pitää luokitella. Tämän takia tietoaineistojen luokittelu koetaan hyvin hankalaksi ja sitä se itse asiassa on! Miten tämä ratkaistaan? - Laaditaan niin selkeä ohje, että kuka tahansa aikuinenkin osaa sen avulla luokitella asiakirjat oikein Siis paljon käytännön esimerkkejä

Vaara Jos ei tiedetä, miten tietoaineisto luokitellaan eikä uskalleta kysyä: Yliluokitellaan se (ERITTÄIN SALAINEN) varmuuden vuoksi Tai aliluokitellaan tietoaineisto ( toi on ihan julkista kamaa ), koska muuten sen käsittely aiheuttaa ylimääräistä TYÖTÄ JA VAIVAA En saakaan lähettää tuota sähköpostilla tai jatkaa sen käsittelyä kotona 23

Takana loistava historia Tietoaineistojen käsittelyyn liittyvää ohjeistusta on kehitetty ainakin 1.4.2004 alkaen, perimätiedon mukaan jo pitemmän aikaa. 24

Tietoturvallisuus-asetus mahtuu yhdelle sivulle! 25

Tuleva VAHTI-ohje tietoturva-asetuksen täytäntöönpanosta ei mahdu yhdelle sivulle sivuja tulee olemaan 110-120 26

Miksi tällaista tarvitaan? Tietoturvallisuuteen liittyviä asioita on ripoteltu lainsäädännössä useaan eri paikkaan, jatkossa tietoturva-asetus tulee toimimaan keskeisessä roolissa. TTA on jatkossa ehdottomasti tärkein velvoite huolehtia tietoturvallisuudesta entisten (julkisuuslaki, henkilötietolaki, laki yksityisyyden suojasta työelämässä, sähköisen viestinnän tietosuojalaki) ohella. Eräs tärkeimmistä syistä saattaa asetus voimaan liittyy kansainvälisten luokiteltujen tietoaineistojen käsittelyyn - Suomi ei ole ihan välttämättä tällä saralla ole ollut mallioppilas - Vaarana on se, että jos Suomen maine / luotettavuus / uskottavuus käsitellä kansainvälisiä turvallisuusluokiteltuja tietoaineistoja ei ole vakuuttava, emme saa sitä tietoa, jota tarvitsemme! 27

Mitä uutta tietoturva-asetus tuo mukanaan? Tietoturvallisuuden perustason määrityksen asetuksessa Neliportainen asteikko suojaustasojen ja turvallisuusluokiteltavien tietoaineistojen luokittelun toteuttamiseksi Vaatimuksen luokiteltujen tietoaineistojen käsittelyn edellyttämän tietoturvallisuustason täyttymisestä - Asetuksessa ei määritetä perustason perusvaatimuksien ohella muita vaatimuksia, vaan ne määritellään tulevassa täytäntöönpanoa koskevassa VAHTI-ohjeessa Joka siis tulee ulos ennen 1.10.2010 28

TTA perustason perusvaatimukset 5 Tietoturvallisuuden perustason toteuttaminen Tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on huolehdittava siitä, että: - 1) viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan; - 2) viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään; - 3) asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään; - 4) tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi; 29

TTA perustason perusvaatimukset - 5) asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi; - 6) tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttö oikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä; - 7) asiakirjojen tietojenkäsittely- ja säilytytystilat ovat riittävästi valvottuja ja suojattuja; 30

TTA perustason perusvaatimukset - 8) henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla; - 9) henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä; - 10) annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti. 31

32

Luokituksen toteuttaminen - Tietoturvatoimenpiteet on suunniteltava ja toteutettava siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet laatiminen tai vastaanottaminen luovuttaminen siirtäminen käsittelyn valvonta arkistointi hävittäminen hävittäminen laatiminen tai vastaanottam inen - Jos valtionhallinnon viranomainen on päättänyt luokitella asiakirjansa tietoturvallisuuden toteuttamiseksi, luokittelussa on noudatettava tietoturvaasetuksen 3. luvussa säädettyjä perusteita. - Luokitusta ei saa ulottaa sellaiseen asiakirjaan tai asiakirjan osiin, joissa käsittelyvaatimusten noudattaminen ei suojattavan edun vuoksi ole tarpeen. - Merkinnän tarpeellisuus ja sen osoittama suojaustasovaatimus on tarkistettava viimeistään silloin, kun viranomainen on antamassa asiakirjan ulkopuoliselle. arkistointi käsittelyn valvonta luovuttamine n siirtäminen

Julkinen vs. salassa pidettävä tieto Julkinen tieto - Ei julkisuuslain tai muun säädöksen perusteella ole määritetty salassa pidettäväksi - Muu kuin laissa määritelty tieto, jos tiedon paljastumiselle ulkopuolisille ei ole haitallisia seuraamuksia Salassa pidettävä tieto - Lainsäädännöllinen peruste tai tiedon paljastumisella ulkopuolisille on eri asteisia haitallisia seuraamuksia Esmes salassa pidettävät henkilötiedot ja liike- sekä ammattisalaisuudet

Turvallisuusluokitellut tietoaineistot 11 - Turvallisuusluokitusmerkintää koskevat erityissäännökset Jos asiakirjan tai siihen sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muulle yleiselle edulle viranomaisten toiminnan julkisuudesta annetun lain 24 :n 1 momentin 2 ja 7 10 kohdassa tarkoitetulla tavalla, salassa pidettävän asiakirjan suojaustasoa koskevan merkinnän yhteyteen tai sen sijasta voidaan tehdä erityinen turvallisuusluokitusmerkintä. - Turvallisuusluokitusmerkintä tehdään: 1) suojaustasoon I kuuluvaan asiakirjaan merkinnällä ERITTÄIN SALAINEN ; 2) suojaustasoon II kuuluvaan asiakirjaan merkinnällä SALAINEN ; 3) suojaustasoon III kuuluvaan asiakirjaanmerkinnällä LUOTTAMUKSELLINEN ; 4) suojaustasoon IV kuuluvaan asiakirjaan merkinnällä KÄYTTÖ RAJOITETTU. 35

Suojaustasojen määrittelyt Salassa pidettävien asiakirjojen luokittelussa käytetään seuraavia luokkia: 1. suojaustaso I, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille; 2. suojaustasotaso II, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille; 3. suojaustaso III, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille; 4. suojaustaso IV, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille.

Käsittelyn rajoitukset Linjaukset asetuksessa, tarkemmat ohjeet VAHTIohjeistuksessa Suojaustason I ja II asiakirjoille tiukat vaatimukset - tulevat edellyttämään KORKEAN tietoturvatason vaatimusten täyttymistä Suojaustason III asiakirja voi siirtää viranomaisen ylläpitämässä käyttörajoitetussa tietoverkossa, jos tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät korotetun tietoturvallisuuden tason vaatimukset. Sama koskee suojaustasoa IV edellyttävää arkaluonteisia henkilötietoja tai biometrisiä tunnistetietoja sisältävää henkilörekisteriin talletettua asiakirjaa. Suojaustason IV asiakirjan saa siirtää valtionhallinnon viranomaisen päättämällä tavalla

Tietoturvatasot? Asetuksessa viitataan perus, korotettuun ja korkeaan tietoturvallisuustasoon. Näiden tasojen vaatimukset löytyvät tulevassa tietoturva-asetuksen täytäntöönpanoa koskevassa VAHTI-ohjeessa. - Ne jotka ovat niitä jo v 2008-2010 lukeneet ja hyödyntäneet, huomaavat että muutoksia on tapahtunut todella vähän! Tietoturvatasojen saavuttaminen edellyttää organisaatiosta ennen kaikkea käytäntöjen dokumentointia, ohjeistamista, koulutusta ja prosessien liikkeelle saattamista vuosikellon mukaiseksi toiminnaksi. - => ei kalliita investointeja vaan hyviä perslihaksia vastuuhenkilöiltä! 38

Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Mikä on KATAKRI-vaatimuskriteeristön suhde VAHTIohjeessa kuvattuihin tietoturvatasoihin? 39

Kansallinen turvallisuusauditointikriteeristö (KATAKRI) KATAKRI-kriteeristöä pitää käyttää ennen kaikkea kun kyse on kansainvälisestä turvallisuusluokitellusta aineistosta tai kansallisesta turvallisuusluokitellusta tietoaineistosta 40

Kansallinen turvallisuusauditointikriteeristö (KATAKRI) Koska KATAKRI-koskee pientä määrää tietoaineistoja ja sen sisältämät ehdot ovat pakollisia, ehdottomia vaatimuksia, niiden täyttäminen ja käyttöönottaminen kansallisille suojaustasoluokitelluille tietoaineistoille aiheuttaisi erittäin suuria lisäkustannuksia nykyisiin ja tuleviin tietojärjestelmiin, tulee sitä käyttää vain silloin kun se on velvoittavaa. Tämän ohella myös korotetun ja korkean tietoturvatason tietojenkäsittely-ympäristössä voidaan suositella otettavaksi käyttöön KATAKRI-kriteeristössä edellytettyjä vaatimuksia. 41

Mille tasolle? Mille tasolle organisaatio tai suojattava kohde sijoittuu tai sijoitetaan? Riippuu täysin käsiteltävästä tietoaineistosta tai muuten suojattavasta kohteesta (huomioidaan lait ja asetukset sekä sopimukset) - Mikään ei estä edellyttämästä itse korkeampia vaatimuksia, jotka tosin aiheuttavat lisäkustannuksia Oletuksena kaikkien tulee täyttää perustietoturvatasovaatimukset. Osalle organisaatioita ja tietojärjestelmiä tämä tulee riittämään. Osa organisaatioista (turvaviranomaiset, palvelukeskukset) tulevat sijoittumaan ja heidän palvelut tulevat edellyttämään korotetun, rajoitetussa määrin korkean tietoturvatason toteutumista. Tästä seuraa seuraavalla sivulla kuvattu ongelma 42

Mille tasolle 43

Asiakkaan liittyminen VIPin palveluiden käyttäjäksi - tietoturvatasoedellytykset VIPin asiantuntijapalveluiden suorittama auditointi tietoturvallisuusasetuksen mukaista perustietoturvatasoa vastaan jos organisaatiolla ei ole vakavia (kriittisiä), sen oman toiminnan, VIPin palvelun ja VIPin muiden asiakkaiden toiminnan vaarantavia poikkeamia, asiakas voi liittyä palveluun Muiden poikkeamien osalta korjaussuunnitelma jos löytyy vakavia (kriittisiä) poikkeamia, ne tulee korjata ja näiden osalta uudelleenauditointi, jonka jälkeen tervetuloa! - auditointi maksaa 5500 (3 pv tekninen, 3 pv hallinnollinen, asiakkaan luona tehtävä työ noin 1 + 1 htp auditointihaastattelu, 0,5 htp auditoinnin esittely) - yksi auditointi riittää kaikkiin meidän palveluihin, seuraavan kerran auditointi suoritetaan 1.10.2013 jälkeen kun perustaso on pitänyt täyttää ja 1.10.2015 korotetun / korkean tason ylimenokauden päätyttyä 44

Asiakkaan liittyminen VIPin palveluiden käyttäjäksi - tietoturvatasoedellytykset Organisaatio saavuttaa tietoturvatasojen perustason 1.10.2013 mennessä ja korotetun tai korkean tason 1.10.2015 mennessä niiden organisaation omien palveluiden & toimintojen osalta, jotka sitä edellyttävät Tilaisuus, Esittäjä 45

Konsernimainen ajattelu - tietoturvallisuus Jos suuressa konsernissa, jossa on 120 yksikköä, jokainen saa rakentaa omat ICT-palvelut, voidaanko olettaa: 120 erilaista mallia tuottaa palveluita - Osa saattaa käyttää jopa samoja malleja ja työvälineitä, vahingossa? Kustannushyötyjä ei ole maksimoitu, 120 x erilliset lisenssit keskitetyn ja hallitun 1 x sijaan? Toimittajat vetävät ja vedättävät yksiköitä välillä kuin pässiä narussa? Jatkuvuuden turvaaminen ja riskienhallinta niin monta tapaa kuin on vastuuhenkilöitä, jotka yrittävät toimintatapoja luoda?

Konsernimainen ajattelu - tietoturvallisuus Kun tilannetta arvioidaan kolmen tai viiden vuoden kuluttua, toivottavasti olemme nousseet merkittävästi ylöspäin kiitos ValtIT-KuntaIT sekä Valtion ITpalvelukeskuksen ja asiakkaidemme (TEIDÄN) koko valtio- ja julkishallintokonsernin yhteistyön, joka heijastuu myös jatkuvuuden turvaamiseen ja riskienhallintaan miten?

Konsernimainen ajattelu - tietoturvallisuus VIPin rooli kasvaa tietoturvallisuuden tuottamisessa merkittävästi - Tarjoamalla palvelut keskitetysti VIPin kautta palvelut voidaan toteuttaa kustannustehokkaasti saavuttaen korotetun / tarvittaessa korkean tason (esimerkiksi käyttöpalvelut) sekä tietojärjestelmät - Teknisen tietoturvallisuuden vastuu siirtyy enemmän VIPille, joka voi tuottaa ratkaisun edellytettävällä tasolla kustannustehokkaasti Sen sijaan että 120 organisaatiota kehittää viestintää, tietoliikennettä, työasemavakiointia, haittaohjelmasuojausta saadaan sama tehtyä kertaluonteisesti VIPin kautta kustannustehokkaammin ja tietoturvallisemmin

Konsernimainen ajattelu - tietoturvallisuus Jatkuvuuden turvaamisessa ja riskienhallinnassa sama asia: - Sen sijaan että joudumme miettimään 120 * samat asiat yksittäisissä organisaatioissa, keskittämällä ja konsolidoimalla näitäkin asioita saavutetaan: Tuottavuutta Laatua Kustannustehokkuutta Osana koko valtionhallintoon suunnattavia palveluita olemme kehittämässä useita tämän esityksen aihepiiriä sivuavia työvälineitä, ohjeistuksia ja koulutuksia.

VAHTI-ohjeet, joissa VIP aktiivisesti mukana VAHTI-sisäverkko-ohje - Tulee ulos ennen 1.10.2010, sisältää perus-korotetun-korkean tason vaatimukset sisäverkoille, mukana myös kv turvaluokiteltuja tietoaineistoja käsiteltäessä huomioitavia KATAKRI-vaatimuksia Yksityiskohtainen vaatimuskriteeristö niistä asioista, jotka pitää täyttää, jotta WLAN-verkkoa voidaan käyttää sisäverkossa VAHTI-hankintojen tietoturvaohje - Kun TTA-asetus ja siihen oleellisesti liittyvät vaatimuskriteerit saada lopullisesti ulos, voidaan hankintojen tietoturvaohje viimeistellä vastaamaan tästä seuraavia velvotteita VAHTI-sosiaalisen median tietoturvaohje - loppuvuosi - Uusi ryhmä aloittanut toukokuussa Hyödynnetään myös osittain taso-ajattelua Perustason organisaatiossa voidaan sallia ja hyödyntää sosiaalisen median palveluita eri tavalla kuin korkean tason organisaatiossa

Miten VIPin tietoturvapalvelut voivat auttaa? Auditointi-konsultointipalvelu - tuotannossa - Käytössämme neljän alihankkijan kautta >50 sertifioitua, turvaselvitettyä, vaitiolositoumuksen allekirjoittanutta koulutettua asiantuntijaa Työkalupakki tietoturvavastaaville - Avataan 18.9 Materiaalipankki Keskusteluareena Verkko-oppimisympäristö tietoturvallisuudesta Tietoturvahaavoittuvuuspalvelu - 1/2011 - Voitte jatkossa tilata kertaluonteisen tai säännöllisen haavoittuvuusskannauksen esimerkiksi internet-verkkoon näkyviin laitteisiin, palomuureihin ja tietojärjestelmiin 51

Tämän lisäksi VM tulee käynnistämään (vuoden vaihteeseen mennessä ) VIPin toteuttamana tietoturvallisuuden yhteishankkeen (1-2 kpl v 2011), joissa meidän ja konsulttien kanssa yhteistyössä toteutettujen, ohjattujen työpajojen ja kotitehtävien kautta saatamme yhteishankkeeseen osallistuvat organisaatiot perustietoturvallisuuden polulle ja maaliin. Ja ohjeistamme ja neuvomme myös siitä, miten perustasolta matkaa jatketaan korotetulle tai korkealle tasolle 52

Miksi tietoturvallisuus on hankalaa? Kolmen kalvon rankka tiivistys Näkemyksemme on, että jos tietoturvallisuus ei ole liitetty osaksi organisaation toimintaprosesseja (tietoturvallisuus nähdään erikseen mietittävänä asiana), sen sisällyttäminen toimintaan on erityisen haastavaa jos tietoturvallisuudesta ei ole tullut organisaatioon asennetta ja kulttuuria, näiden luomiseen kuluu aikaa vuosia - tähän liittyy keskeisenä säännöllinen tiedottaminen ja henkilöstön kouluttaminen ja motivointi jos organisaation johto ei ole sisäistänyt sitä, että tietoturvallisuus on - olennainen osa organisaation liiketoiminnan jatkuvuuden turvaamista, - jossa huolehditaan tiedon turvaamisesta (luottamuksellisuus eheys saatavuus helppokäyttöisyys), - hyödynnetään ja kehitetään säännönmukaista riskien arviointia, - jatkuvuus- ja valmiussuunnittelua sekä - säännöllistä auditointia

Pika-auditointi v 0.22 alfa 1. Prosessit ovat kunnossa 2. Tietoturva-asenne ja kulttuuri ovat kunnossa sisältäen aktiivisen koulutuksen & tiedotus 3. Organisaation johto ja esimiehet ovat sisäistäneet tietoturvallisuuden merkityksen 4. Riskienhallintakokonaisuus on toiminnassa 5. Jatkuvuussuunnittelu on hallinnassa 6. Valmiussuunnittelu on hallinnassa 7. Keskeisiä toimintoja auditoidaan säännöllisesti (substanssi teknologia) ja sen pohjalta asioita laitetaan kuntoon eli korjataan Hmmm???? 2 pistettä 1 piste 0 pistettä

Pika-auditointi v 0.22 alfa 0 pistettä - Olette alle tietoturvallisuuden perustason ja vaarannatte niin oman kuin asiakkaiden ja toimintaverkoston toiminnan 1 7 pistettä - Olette lähestymässä (1-5) tai saavuttaneet (6-7) tietoturvallisuuden perustason 8 11 pistettä - Olette saavuttaneet perustason (8-9) ja matkalla jo kohti korotettua tasoa tai sen saavuttaminen ei ole merkittävä haaste >11 pistettä - Olette matkalla jo korkeaan tasoon onnittelut!

Kysymyksiä ja kommentteja? Kiitos!

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute