VAHTI-toiminta ja kuntien tietoturvajaosto 9.2.2016 Kimmo Rousku, VAHTI-pääsihteeri JUHTA 17.2.2016
Esitykseni Yleistä VAHTIsta Kuntien tietoturvajaosto Tehtävä Tietoturvakysely 2015 Työsuunnitelma 2016 2
VAHTI Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) toimii julkisen hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä. VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää tieto- ja kyberturvallisuuden sekä ICT-varautumisen saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä, ylläpitoa ja käyttöä. 3
VM:n ohjausrooli Laki julkisen hallinnon tietohallinnon ohjauksesta (2011) Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (2011) 5 Valmiuslaki (2013) 105 Laki valtion yhteisten tietoja viestintäteknisten palvelujen järjestämisestä (2013) TORI- ja TUVElainsäädäntö (2013, 2014) Valtioneuvoston periaatepäätös tietoturvallisuuden kehittämisestä valtionhallinnossa (2009) Yhteiskunnan turvallisuusstrategia (2010) Kansallinen kyberturvallisuusstrategia (2013) 4
JulkICT-osasto Valtiovarainministeriön Julkisen hallinnon tieto- ja viestintätekninen (ICT) -osasto vastaa julkisen hallinnon tietohallinnon, sähköisen asioinnin ja tietovarantojen käytön yleisestä kehittämisestä, valtionhallinnon tietohallinnon ohjauksesta ja yhteisten kehittämishankkeiden yhteensovittamisesta. JulkICT-osasto edistää valtion ja kuntien välistä tietohallintoyhteistyötä, kehittää yhteisiä toiminnallisia ja teknisiä ratkaisuja ja menetelmiä sekä vastaa julkisen hallinnon tietoturvallisuuden yleisestä kehittämisestä ja valtionhallinnon tietoturvallisuuden ohjauksesta. 5
Toiminta VAHTI-johtoryhmä Perus laajennettu - Aku Hilve pj - Kimmo Rousku pääsihteeri VAHTI-sihteeristö Tekninen jaosto Pj Kimmo Rousku Ohje-jaosto Pj Pekka Ristimäki Kuntien tietoturvajaosto Pj Harri Ihalainen Yksittäiset Yksittäiset ohjetyöryhmät ohjetyöryhmät Yksittäiset Yksittäiset ohjetyöryhmät ohjetyöryhmät 6 pp.kk.vvvv
Kuntien tietoturvajaosto Valtiohallinnon tieto- ja kyberturvallisuuden johtoryhmä VAHTI on asettanut alaisuutensa kuntien tietoturvajaoston. Tietoturvajaoston keskeisenä tavoitteena on kehittää kuntien tieto- ja kyberturvallisuutta ja siihen liittyvää yhteistyötä sekä osaltaan parantaa kuntien toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista 7
Tehtäviä vuonna 2015 Toteuttaa tietoturvakysely Toteutettu - > lisätietoja Tietoturvaseminaari syksy Järjestetty 13.10.2015 Kuntatalolla Vuoden 2016 toimintasuunnitelma ja sen toteuttaminen 8
Kuntakysely Kysely pohjautuu valtionhallintoon >10 vuoden ajan tehtyyn vastaavanlaiseen VAHTI-kyselyyn Saimme vastauksia 93 kpl (29,3 % vastausprosentti) Kyselyn aktiivisuus oli hyvä, vaikka ajankohta ei ollut paras (lähetettiin heinäkuun puoliväli, vastausaikaa elokuun loppuun eli osin keskellä lomakautta) Vastanneille kunnille on toimitettu heidän vastauksensa PDF-muodossa sekä Excel-tiedosto, jossa kunnan tuloksia on verrattu keskiarvoon 9
TOP 5 parhaiten toteutetut osa-alueet 1.4.5 Organisaatiossa on sovittu käyttövaltuuksien hallintaperiaatteet? 90% 1.2.8 Vakavista tietoturvapoikkeamista kerrotaan organisaation johdolle viivytyksettä? 89% 1.4.3 Organisaatiossa on tunnistettu ja eriytetty tietoverkon eri suojaustasoa vaativat osat ja eri suojaustason verkkojen välistä liikennettä rajoitetaan ja suodatetaan? 89% 1.4.1 Onko erilliset tietojenkäsittelyn toimintaympäristöt ja niihin kuuluvat järjestelmät ja toiminnot tunnistettu? 86% 1.4.6 Tunnusten ja valtuuksien myöntö, muuttaminen ja poisto on organisoitu ja vastuutettu käyttövaltuuksien hallintaperiaatteiden mukaisesti? 86% 10
TOP 6 kehittämistä kaipaavia 1.7.3 Onko organisaationne sopimuksissa sovittu turvallisuusselvityksien tekemisestä palveluntoimittajista? 15% 1.7.2 Onko organisaatiossanne käytössä turvallisuusselvitysmenettely? 19% 1.2.11 Onko organisaation ICT-jatkuvuussuunnitelmaa harjoiteltu? 19% 1.4.9B Onko kaikissa mobiilipäätelaitteissa suojausratkaisu? 23% 1.2.6 Tieto- ja kyberturvallisuudesta raportoidaan organisaation johdolle säännöllisesti? 28% 1.4.11B Viestintään liittyvien välitystietojen käsittelyssä noudatettavien menettelyjenperusteet ja käytännöt on käsitelty yhteistoiminnassa tietoyhteiskuntakaaren mukaisesti? 29% 11
Palkitseminen - aktiivisuus Tampereen kaupunki Ranuan kunta Kiuruveden kaupunki 12
Mitä vuonna 2016 - työsuunnitelma Olemassa olevien parhaiden VAHTI-käytäntöjen jalkauttaminen ei keksitä turhaan mitään uutta Koulutuskokonaisuus (tuleva VAHTI-palvelu) Henkilöstön tietoturvakyselyn toteuttaminen Kuntakierros alueellinen teemapäivä syksyllä 5-6 eri paikkakuntaa Tietoturva tietosuoja kyberturvallisuus riskienhallinta toiminnan jatkuvuus EU-tietosuoja-asetus vaikutusten huomioiminen osana tieto- ja kyberturvallisuuden kehittämistä Osallistuminen tulevan lainsäädäntötyön valmisteluun koskien tiedonhallinnan ja tietojenkäsittelyn lakikokonaisuutta Velvoittavuus myös kunnille 13
Kimmo Rousku VAHTI-pääsihteeri Puh 0295 30140 kimmo.rousku@vm.fi