Tietoturvallisuus hallinnon sähköisissä palveluissa



Samankaltaiset tiedostot
TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Laki. sähköisestä asioinnista viranomaistoiminnassa. Annettu Helsingissä 24 päivänä tammikuuta Eduskunnan päätöksen mukaisesti säädetään: 1 luku

Pilvipalveluiden arvioinnin haasteet

Toimitilojen tietoturva

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet Tommi Oikarinen

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Sähköisten asiointipalvelujen järjestämisvelvollisuus

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Webinaarin sisällöt

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietojärjestelmien varautuminen

Tietosuoja Copyright (c) 2005 ACE LAW Offices

Tietosuoja henkilöstön rekrytoinnissa

Sähköinen asiointi. Sari Anetjärvi lakimiesasessori

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Yritysturvallisuuden perusteet

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

SELVITYS TIETOJEN SUOJAUKSESTA

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Laki digitaalisten palvelujen tarjoamisesta Erityisesti 2. luku

TIETOTURVAA TOTEUTTAMASSA

Yritysturvallisuuden perusteet

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste

Informaatio- ja tietoteknologiaoikeuden professori Tomi Voutilainen. Kuntien tietohallinnon järjestäminen

Hallintolaki Kaupunginlakimies Pekka Lemmetty

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

MALLI HENKILÖTIETOJEN KÄSITTELYN/HENKILÖREKISTERIN REKISTERITOIMINTOJEN ANALYSOIMISEKSI

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Rekisteriseloste. Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen asiakasrekisterin rekisteriseloste

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla.

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Sähköi sen pal l tietototurvatason arviointi

Kehitysvammaisten asumispalvelujen rekisteriseloste

VIRTU ja tietoturvatasot

Turvallisuuden lyhyt koulutuspaketti

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden palveluohjauksen rekisteriseloste

Yksityisyydensuoja ja kirjaaminen. Itsemääräämisoikeus ja asiakirjat THL Liisa Murto Ihmisoikeuslakimies Kynnys ry/vike

Laatua ja tehoa toimintaan

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

PK-yrityksen tietoturvasuunnitelman laatiminen

Työelämän tietosuojalaki Johanna Ylitepsa

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Tietosuojaseloste. Henkilötietolain 10 :n mukainen rekisteriseloste on nähtävissä sivuilla.

HE 111/2010 vp. viestinä lähetettävä tuomioistuimen toimituskirja. Laki on tarkoitettu tulemaan voimaan 1 päivänä joulukuuta 2010.

Mobiililaitteiden tietoturva

SÄHKÖISET JA LAINSÄÄDÄNTÖ

SALASSA PIDETTÄVÄN TIETOAINEISTON LÄHETTÄMINEN SÄHKÖPOSTITSE

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

1. Rekisterinpitäjä. Utajärven kunta, Hallintopalvelut Vanhatie Utajärvi Puh sähköposti:

JHS-järjestelmä. Tommi Karttaavi

IT-palvelujen ka yttö sa a nnö t

KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli Heikki Lunnas

Tietoturvaa verkkotunnusvälittäjille

NASSTOLAN KUNTA HYVÄ HALLINTO Hyvän hallintotavan ohjeistuus Yhteistyöryhmä Kunnanhallitus Voimaantulo

Valtioneuvoston asetus

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Lokipolitiikka (v 1.0/2015)

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Rekisteriseloste GDPR Henkilötietolaki (523/99) 10

TMG EVENTS TIETOSUOJASELOSTE

Kuraattoripalveluiden asiakasrekisterin tietosuojaseloste

Webinaarin sisällöt

Tietoturvapolitiikka Porvoon Kaupunki

EU:N TIETOSUOJA-ASETUS OPAS YHDISTYKSILLE JÄRJESTÖOHJAUS KUUROJEN LIITTO RY.

Yhteystiedot (osoite, puhelin ) Liperin kunta /Hallinto-osasto Keskustie 10, LIPERI puh s-posti: kirjaamo@liperi.

Sähköisen liiketoiminnan kehittäminen Päijät-Hämeen pk-yrityksissä. Ari Saloranta

Tietoturvapolitiikka

Julkaistu Helsingissä 15 päivänä kesäkuuta /2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Tietoturva Kehityksen este vai varmistaja?

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Tiedonhallintalaki HE-luonnos Julkisen hallinnon tiedonhallinnan ohjaus ja yhteistyö , Juhta Sami Kivivasara

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Asianajajaliiton tietoturvaohjeet. Asianajosihteeripäivät Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Tietoturvavastuut Tampereen yliopistossa

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Transkriptio:

Tietoturvallisuus hallinnon sähköisissä palveluissa HAUS 15.9.2011 Jukka Tuomela Johtamiskorkeakoulu/Julkisoikeus Tampereen yliopisto 15.9.2011 HAUS Jukka Tuomela, TaY 1 Tietoturvallisuus Tietoturvallisuudella tarkoitetaan niitä hallinnollisia ja teknisiä toimenpiteitä, joilla varmistetaan tiedon luottamuksellisuus, eheys ja käytettävyys sekä yksityisyyden suoja. 15.9.2011 HAUS Jukka Tuomela, TaY 2 1

Tietoturvallisuuden juridiset lähtökohdat sähköisessä asioinnissa Yleisesti: JulkL 18 :n ja JulkA 1 luvun mukainen hyvä tiedonhallintatapa Valtionhallinnon tietoturvallisuusasetus L kansainvälisistä tietoturvavelvoitteista HeTiL 7 luku: tietoturvallisuus ja tietojen säilytys; hyvä tietojenkäsittelytapa Erityisesti: SähkAsL 5 3 mom. 15.9.2011 HAUS Jukka Tuomela, TaY 3 Tietoturvallisuuden ohjaus hallinnossa VM/Hallinnon kehittämisosasto/ tietohallinnon uudistamishankkeet ValtIT ja KuntaIT valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI julkisen hallinnon tietohallinnon neuvottelukunta JUHTA julkisen hallinnon suositusjärjestelmä JHS- suositukset Tietosuojavaltuutettu ja Viestintävirasto 15.9.2011 HAUS Jukka Tuomela, TaY 4 2

Tietojärjestelmien suunnittelu ja toteuttaminen (JulkL 18 ) viranomaisen suunniteltava ja järjestettävä sähköiset asiointipalvelunsa siten, että tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvallisuusjärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus, tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvallisuustoimenpiteistä aiheutuvat kustannukset asianmukainen arkistointi ja hävittäminen 15.9.2011 HAUS Jukka Tuomela, TaY 5 Henkilöstön koulutus tietoturvallisuusasioissa (JulkL 18 ) viranomaisen on huolehdittava siitä, että sen palveluksessa olevalla henkilöstöllä on tarvittava tieto asiakirjojen ja tietojärjestelmien suojaamisessa noudatettavista menettelyistä, tietoturvallisuusjärjestelyistä ja tehtävänjaosta viranomaisen on huolehdittava myös siitä, että hyvän tiedonhallintatavan toteuttamista koskevien säännösten, määräysten ja ohjeiden noudattamista valvotaan 15.9.2011 HAUS Jukka Tuomela, TaY 6 3

Tietoturvallisuusriskien selvitysvelvollisuus (JulkA 1 ) viranomaisen on selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun ja suojaan sekä tietojärjestelmien turvallisuuteen vaikuttavat uhat sekä niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden kustannukset ja muut vaikutukset selvitysten perusteella arvioitava ja toteutettava tarvittavat toimenpiteet 15.9.2011 HAUS Jukka Tuomela, TaY 7 Tietoturvallisuusasetus Yleiset tietoturvallisuusvaatimukset Suunnittelun perusteet Tietoturvallisuuden perustaso Korotettu ja korkea taso Eri käsittelyvaiheiden huomioonottaminen Asiakirjojen luokittelu Neljä suojaustasoa (I-IV) Turvallisuusluokitusta koskevat merkinnät Erittäin salainen (I), salainen (II), luottamuksellinen (III) ja käyttö rajoitettu (IV) 15.9.2011 HAUS Jukka Tuomela, TaY 8 4

Tietoturvallisuusasetus (jatkoa) Luokitellun asiakirjan käsittelyä koskevat vaatimukset Käsittelyoikeudet ja niiden luettelointi Tiloja koskevat turvallisuusvaatimukset Asiakirjojen käsittely viranomaisen toimitilojen ulkopuolella Sähköisen asiakirjan laatiminen, tallettaminen ja muokkaaminen Asiakirjan kopiointi Asiakirjan välittäminen Asiakirjan siirtäminen tietoverkossa Käsittelyn kirjaaminen Arkistointi ja hävittäminen 15.9.2011 HAUS Jukka Tuomela, TaY 9 Tietoturvallisuuden osa-alueita - hallinnollinen turvallisuus linjaukset, johtaminen, toiminnan organisointi, vastuut, tietoturvallisuuden toimintapolitiikka - henkilöturvallisuus ohjeistus, koulutus, huomiointi rekrytoinnissa ja työsuhteen päättyessä - toimitilaturvallisuus kulunvalvonta, lukitukset, murtosuojaus, palosuojaus - tietojenkäsittelyn turvallisuus laitteiden käyttöön ja operointiin liittyvät työtehtävät, poikkeustilanteet, varmuuskopiointi 15.9.2011 HAUS Jukka Tuomela, TaY 10 5

Tietoturvallisuuden osa-alueita - tietoliikenteen turvallisuus tietoliikenteen jatkuvuuden turvaaminen, siirrettävän tiedon salaaminen ja eheyden varmistaminen - laitteistoturvallisuus tietokoneiden ja verkon toiminnan varmistaminen, varautuminen sähkönsyötön katkoksiin - ohjelmistoturvallisuus tietokoneiden suojaaminen, lisenssien hallinta, ohjelmien rekisteröinti 15.9.2011 HAUS Jukka Tuomela, TaY 11 Tietoturvallisuuden osa-alueita - käyttötoimintojen turvallisuus päivittäisen käytön turvaaminen (laitteiden ylläpito, käyttö, huolto, valvonta) - tietoaineistoturvallisuus levyjen, levykkeiden, nauhojen ja tulosteiden käsittely, tietojen turvaluokitukset - yksityisyyden suojan huomioiminen tietoja käsitellään vain asianmukaisiin tarkoituksiin ja vain ne henkilöt, jotka tietoja tarvitsevat 15.9.2011 HAUS Jukka Tuomela, TaY 12 6

Sähköinen asiointi ja viranomaisen tietoturvallisuusympäristö viranomaisten tietojärjestelmät avautuvat ulkopuolisille Tietoturvaongelmien kohdistuminen asiakas, asiakkaan päätelaitteet, tiedonsiirtoverkko teleoperaattorille, operaattorin palvelinlaitteet kotona, työpaikalla, kirjastossa, itsepalvelupisteessä muu tiedonsiirtoverkko viranomaisen palvelinlaitteet, sisäinen tiedonsiirtoverkko, päätelaitteet ja henkilökunta 15.9.2011 HAUS Jukka Tuomela, TaY 13 Tietoturvallisuustyö käytännössä sähköisten palveluiden tietoturvallisuuden toteuttaminen asettaa vaatimuksia palvelun tarjoajalle erityisesti tietojärjestelmille HeTiL 24 :n mukaisesti informointi tietojen käsittelystä, jos asiointitietoja kerätään viranomaisen henkilörekistereihin asiakkaille ohjeistus, laite- ja ohjelmistovaatimukset 15.9.2011 HAUS Jukka Tuomela, TaY 14 7

Sähköisen asiointipalvelun tietoturvallisuus palvelun tarjoajan toiminta perusjärjestelmän tietoturvallisuus toimiva tietoturvallisuustyö osa kaikkea toimintaa tietoteknisten komponenttien (ohjelmistot, laitteistot) tietoturvallisuusominaisuudet ulkoistetun toiminnan tietoturvallisuus (esim. ohjelmiston kehittäminen, toimeksiantotehtävät) vastuut ja sopimukset henkilöstön ammattitaito 15.9.2011 HAUS Jukka Tuomela, TaY 15 Yleisiä tietoturvallisuustoimenpiteitä tietomurtojen ehkäisy virusten ja haittaohjelmien torjunta (vrt. sähköisen viestinnän tietosuojalaki) sähköposti (erityisesti liitetiedostot), www-sivujen selailu, ohjelmien omatoiminen asentaminen automaattinen lähtevän ja tulevan sähköpostin virusskannaus päätelaitekohtainen virustorjunta palomuuri, reaaliaikainen valvonta ja hälytykset selaimen asetukset riittävä ohjeistus henkilökunnalle roskapostisuodatus (toiminta suunniteltava, automaattinen suodatus ongelmallista) 15.9.2011 HAUS Jukka Tuomela, TaY 16 8

Sähköisten asiointipalvelujen tietoturvallisuustarpeet Ryhmittely palvelun luonteen avulla yleiset tietopalvelut ja tiedottaminen asiakaspalaute ja kansalaisten osallistuminen hallintoasian, tuomioistuinasian tai ulosottoasian vireillepano, käsittely ja tiedoksianto (vuorovaikutteinen palvelu) muu vuorovaikutteinen palvelu JulkL ja HeTiL mukainen tietojen saanti 15.9.2011 HAUS Jukka Tuomela, TaY 17 Tietopalvelut ja tiedottaminen: viranomaisten kotisivut viranomaisella vastuu tietojen oikeellisuudesta sisältö, erityisesti yhteystiedot tietojen luvaton muuttaminen estettävä verkkopalvelimen suojauksesta huolehtiminen palomuuri, suojatut yhteydet tietojen päivityksessä ohjelmistojen jatkuva päivitys asiakkaan mahdollisuus varmistua sivujen alkuperästä palvelinvarmenne tai vastaava 15.9.2011 HAUS Jukka Tuomela, TaY 18 9

Asiakaspalaute ja kansalaisten osallistuminen asiakaspalautteen pyytäminen ja käsittely saattaa sisältää salassapidettävää tietoa kansalaiskeskustelu keskustelupalstalla automatisoitu tai ns. moderoitu palsta erilaiset mielipidekyselyt vapaat tai tunnistautumista edellyttävät 15.9.2011 HAUS Jukka Tuomela, TaY 19 Tietoturvallisuus vuorovaikutteisessa asioinnissa tietoturvallisuus huomioitava palvelussa sekä asiakkaan että viranomaisen päässä asiakkaan luona erityisesti salassapidettäviä tietoja sisältävien tietojen tallentuminen asiakkaan päätelaitteelle salattu www-sivu, sähköisesti täytettävä lomake asiakkaalle kerrottava tietoturvallisuusriskeistä asiakkaan ohjeistus tietojen poistamiseksi päätelaitteelta 15.9.2011 HAUS Jukka Tuomela, TaY 20 10

Vuorovaikutteinen asiointi Viranomaisen harkittava palvelukohtaisesti milloin tarvitaan salattua yhteyttä asioinnissa milloin edellytetään asiakkaan tunnistamista ja mitä tunnistamismenetelmiä hyväksytään sähköinen allekirjoitus, pankin tunnukset, käyttäjätunnus ja salasana, allekirjoituksen puuttuminen vireillepanossa, asioinnin myöhemmissä vaiheissa omien tietojen katselu (arkaluontoisia tai salassapidettäviä tietoja) verkkolomakkeelle esitäytetään tietoja viranomaisen tai myös muiden viranomaisten rekistereistä ohjattava käyttämään tietoturvallisuudeltaan riittäviä tiedonsiirtomenetelmiä (vrt. HL 8 ) 15.9.2011 HAUS Jukka Tuomela, TaY 21 Asian vireillepano SähkAsL 9.2 : puuttuvaa allekirjoitusta ei tarvitse täydentää, jos asiakirjassa on tiedot lähettäjästä eikä asiakirjan alkuperäisyyttä tai eheyttä ole syytä epäillä (vrt. hallintolaki 22.2 ) asiamiehen ei tarvitse toimittaa valtakirjaa, jos asiakirjasta käy ilmi asiamiehen toimivalta, eikä viranomaisella aihetta epäillä asiamiehen toimivaltaa tai sen laajuutta (vrt. hallintolaki 12.1 ) sähköisen asiakirjan siirto toimivaltaiselle viranomaiselle (SähkAsL 15 ) salassapidettävät tiedot 15.9.2011 HAUS Jukka Tuomela, TaY 22 11

Välitoimet harkittava palvelukohtaisesti milloin viranomainen voi käyttää telekopiota tai sähköpostia välitoimissa, myös täydennyspyynnössä viranomainen voi asioida asiakkaan ilmoittamilla tavoilla (muu tiedoksianto) salassapidettävät tiedot ja salassapitointressi (JulkL 26.1 2) kohdan mukainen suostumus) tarvittaessa todisteellinen sähköinen tiedoksianto 15.9.2011 HAUS Jukka Tuomela, TaY 23 Päätöksen tiedoksianto Milloin käytettävä todisteellista sähköistä tiedoksiantoa? jos kyseessä päätös, jonka tiedoksiannosta alkaa kulua muutoksenhakuaika tai joka tullakseen voimaan on annettava asianosaiselle tiedoksi (SähkAsL 18 ) myös jos asianomaisen yksityisyyden suojaaminen, muu erityisen suojan tai suojelun tarve taikka oikeuksien turvaaminen sitä edellyttää (SähkAsL 19 ; vrt. hallintolaki 60 ) Miten päätöksen noutaja on tunnistettava? laatuvarmenne muu tunnistautumistekniikka, joka on tietoturvallinen ja todisteellinen esim. pankkien tunnukset vrt. https://www.tunnistus.fi/ ; https://yritys.tunnistus.fi/ tunnistautumisessa asiakirja ikäänkuin kuitataan allekirjoituksella saaduksi (vrt. saantitodistus) 15.9.2011 HAUS Jukka Tuomela, TaY 24 12

Tietoturvallisuus ja viranomaisten välinen tietojenvaihto sähköisissä asiointipalveluissa edellyttää molempien viranomaisten yhteistyötä tietoturvallisuudesta huolehtiminen on myös molempien velvollisuus esitäytetyissä lomakkeissa varsinainen palvelun tarjoaja vastaa suhteessa palvelun asiakkaisiin 15.9.2011 HAUS Jukka Tuomela, TaY 25 13

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute