VIRTU ja tietoturvatasot

Samankaltaiset tiedostot
Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

Virtu tietoturvallisuus. Virtu seminaari

Laatua ja tehoa toimintaan

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturvapolitiikka

Tietoturvapolitiikka

Tietoturvapalvelut valtionhallinnolle

Vihdin kunnan tietoturvapolitiikka

Valtion IT-palvelukeskuksen tietoturvapalvelujen ajankohtaiset kuulumiset

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Toimitilojen tietoturva

Valtion konesali- ja kapasiteettipalvelun merkitys valtion konesalistrategian toteuttamisessa VM/JulkICT / Tuomo Pigg

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

VALTIONHALLINNON DIGITAALISEN TUR- VALLISUUDEN ASIANTUNTIJAPALVELU VAL-DIAS PALVELUKUVAUS. Auditointi- ja konsultointipalvelut

Tietoturva Kehityksen este vai varmistaja?

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Sähköi sen pal l tietototurvatason arviointi

TIETOTURVAPOLITIIKKA

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet Tommi Oikarinen

Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Val-DIAS. Kimmo Rousku, Hanna Heikkinen, Juha Kirves Väestörekisterikeskus

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietoturvakonsulttina työskentely KPMG:llä

Tutkimuslaitosseminaari

Suorin reitti Virtu-palveluihin

Valtorin tarjoamat tietoturvapalvelut. Valtorin tietoturvaseminaari Kimmo Rousku Apulaisjohtaja, tietoturvapalvelut

Valtion IT-palvelukeskus (VIP) Anna-Maija Karjalainen

Valtioneuvoston asetus

Karkkilan kaupungin tietoturvapolitiikka

Jatkuvuuden varmistaminen

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Siilinjärven kunta ja Valtion IT-palvelukeskus

ICT-VARAUTUMINEN VALTIT-INFO

Tampere Ote viranhaltijapäätöksestä 1 (5) Tietohallintojohtaja

Katsaus tieto- ja kyberturvallisuuden tilanteeseen. Aku Hilve JUHTA

Tietoturvavastuut Tampereen yliopistossa

Espoon kaupunki Tietoturvapolitiikka

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Turvallisuuden lyhyt koulutuspaketti

Ajankohtaista Virtu-palvelussa

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

evare Valtionhallinnon ICT-varautumisen kehittäminen

Katsaus tieto- ja kyberturvallisuuteen. Valtorin tietoturvaseminaari Paasitorni Kimmo Rousku Apulaisjohtaja, tietoturvapalvelut

Luonnos LIITE 1

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Ohje arviointikriteeristöjen tulkinnasta

Standardit tietoturvan arviointimenetelmät

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Punkalaitumen kunta ja. Valtion tieto- ja viestintätekniikkakeskus. Valtori

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Consultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Miten uudistettu VAHTI voi auttaa organisaatiotasi turvallisuuden kehittämisessä? Kimmo Rousku

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Vahva vs heikko tunnistaminen

Kansallisarkisto SÄHKE2-AUDITOINNIT PALVELUKUVAUS. v. 1.0 ( )

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Tietoturvapolitiikka

Pilvipalvelut julkisella sektorilla. Hannu Ojala Julkisen hallinnon tieto- ja viestintätekninen toiminto

Tietoturvapolitiikka. Hattulan kunta

HELSINGIN JA UUDENMAAN PYSYVÄISOHJE 3 / (5) SAIRAANHOITOPIIRI Yhtymähallinto

Espoon kaupunki Tietoturvapolitiikka

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

VAHTIn toiminta

Valtion ICT

Viestintäviraston tietoturvapolitiikka

Tietoturva- ja tietosuojapolitiikka

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

Teknisen ICTympäristön

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

TALPOL linjaukset TORI-toimenpiteet

Tietoturvaa verkkotunnusvälittäjille

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Teknisen ICT-ympäristön tietoturvataso-ohje

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Pilvipalveluiden arvioinnin haasteet

SELVITYS TIETOJEN SUOJAUKSESTA

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

Tietoturvallisuuden ja tietoturvaammattilaisen

Lausuntopalvelu.fi valtion virastojen lausuntomenettelyn työkaluna

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

Tietoturvallisuuden vaatimukset ja vaikutukset liiketoimintaan sekä yhteiskuntaan

Transkriptio:

1 VIRTU ja tietoturvatasot VIRTU/HAKA seminaari 3.2.2010 Erja Kinnunen VK/VIP

VIPin palvelut

Tietoturvallisuuden viitekehys valtionhallinnossa Ei tietoturvallisuutta koskevaa erillislakia Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä (VAHTI 7/2009) Hyväksytty 26.11., voimaan 1.12.2009 Julkisuuslakiin 621/1999 liittyvät määräykset Hyvä tiedonhallintatapa 18 Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 1030/1999 Tietoturvallisuusasetus, tulossa voimaan 1.4.2010

Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä Tietoturvallisuuden kehittämisperiaatteet Vastuullisuus Laillisuus Osaaminen Yhteistyö ja synergiaedut Integrointi Kansainvälinen yhteistyö Kehittämisen painopisteet Johtaminen Kokonaisvaltaisuus ja läpäisy Ennaltaehkäisy ja varautuminen Tiedon ja sen arvon suojaaminen

Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä Riittävä tietoturvallisuuden, varautumisen ja suojauksen taso tulee määritellä ja toteuttaa ottaen huomioon asiaa koskevat säädökset ja käyttäen perustana kunkin organisaation toiminnallisia tavoitteita ja toimintojen tietosisällön arvoa ja merkitystä valtionhallinnolle, kansalaisille ja yhteisöille. Säädösten sekä organisaatiokohtaisten tavoitteiden, toimintojen ja tietojen lisäksi riittävän tietoturvallisuuden, varautumisen ja suojauksen tason määrittämisen ja toteuttamisen lähtökohtia ovat valtionvarainministeriön antamat tietoturvallisuuden ja varautumisen tasot ja -ohjeet.

Tietoturvallisuusasetus Salassa pidettävien asiakirjojen ja tietoaineistojen luokittelu kv-aineistot turvaluokitellaan muihin merkitään suojaustaso ST I ST IV Vaatimukset tietoturvallisuuden perustason toteuttamiselle Salassa pidettävien asiakirjojen käsittely edellyttää tietyissä tapauksissa korotetun tai korkean tietoturvatason vaatimusten täyttämistä Asetuksen tueksi tulossa VAHTI-ohjeistus ennen 1.4.2010

Miten tietoaineistot vaikuttavat tason valintaan? ST I Erittäin salainen ST II Salainen ST III Luottamuksellinen ERITYISTASO KORKEA TASO KOROTETTU TASO TURVATTAVAT KOHTEET TURVATTAVAT KOHTEET TURVATTAVAT KOHTEET ST IV Käyttö rajoitettu PERUSTASO TURVATTAVAT KOHTEET

Tietoturva-/varautumistason valinta Perustaso normaaliolot - normaaliolojen häiriötilanteet Julkinen tieto ST IV Virka-aika Korotettu taso YETTS ja muut normaalista poikkeavat ST III 12/7 Korkea taso poikkeusolot ST II 24/7

Liite 1: Vaatimukset organisaation tietoturvallisuuden hallinnalle Kuvaavat organisaatiotason tietoturvallisuuden hallinnan kypsyyttä

Liite 2: Vaatimukset ICT-järjestelmien hallinnalle Suojattavien kohteiden tietoturvallisuuden hallintaan liittyviä prosesseja Näissäkään vaatimuksissa ei vielä mennä teknisiin yksityiskohtiin Lisää teknisiä vaatimuksia tulossa VAHTI: Lähiverkkojen tietoturvasuosituksessa x/2010

Tietoturvatasojen toteuttaminen Hallinnossa Perustaso toteutettava 1.4.2013 mennessä (TT-asetus) VIP edellyttää asiakkailtaan perustasoa jo aiemmin Toimittajilla ja kumppaneilla Vaatimukset tulossa mukaan sopimuksiin Hanselin/VIPin toimesta luodaan mallit sopimusliitteiksi VAHTI hankintojen tietoturvaohje tulossa lausuntokierrokselle keväällä 2010

VIPin tietoturvapalvelut VIP-tietoturvapalvelu auttaa valtionhallinnon organisaatioita kehittämään tietoturvallisuuttaan. Asiantuntijapalvelut auttavat organisaatiota saavuttamaan tietoturvatasojen sekä ICT-varautumisen edellyttämä kypsyystaso vuosien 2010-2016 aikana - Tietoturva-auditointipalvelu - Tietoturva-konsultointipalvelu lisäksi kehitämme sähköisiä palveluita ja työkaluja, joiden avulla organisaation tietoturvatyötä voidaan tehostaa, esimerkiksi: - Työkalupakki sisältäen oppimisympäristön, oppimateriaalit ja hyvien käytäntöjen jakamisen sekä keskusteluareenan - Riskien- ja verkostonhallinta - Tietoturvallisuuden raportointi ja mittaaminen

Auditointi- ja konsultointipalvelut Sopimukset allekirjoitettu tammikuun alussa 2010 Konsultit koulutettu viikoilla 2-3 Yli 30 turvaselvitettyä, koulutettua ja vaitiolositoumuksen allekirjoittanutta tietoturvakonsulttia Toimittajina ework / KPMG Netum / Nixu / LAV security Fujitsu Pivotal /Deloitte

Auditointipaketit 14 Tietoturvatasot-auditointipaketit organisaation arviointi 3 htp asiantuntija taso 2 IT-arviointi 3 htp asiantuntija taso 2 3 htp / osa-alue koostuu seuraavista tehtävistä: 0,5 htp toimeksiannon suunnittelu ja rajaus sekä asiakkaan tapaaminen, muu hallinnollinen työ 1,0 htp auditointitilaisuus 1,0 htp auditointitilaisuuden dokumentointi, suositusten laatiminen sekä yhteenvedon tuottaminen 0,5 htp yhteenvetotilaisuus asiakkaan kanssa Käytetään esim. VIRTUn asiakkaille kun he haluavat liittyä VIPin palveluun 4.2.2010 Tekijän nimi

Virtu auditointi ja VIPauditointipalvelut Palvelun omistaja (VIP) asettaa palveluun liittymisen edellytykset tietoturvallisuuden osalta. VIRTUn osalta tietoturvatasojen perustaso tulee saavuttaa vuoden 2011 kuluessa, ennen sitä ei saa löytyä kriittisiä poikkeamia. Palveluun liittyvät organisaatio tilaa auditoinnin VIPiltä. Kun poikkeamia löytyy, tehdään toimenpidesuunnitelma poikkeamien korjaamiseksi. Virtun kannalta on tärkeätä, että organisaatiolla ei ole kriittisiä (punaisia) poikkeamia, jotka vaarantaisivat sekä liittyvän organisaation, Virtu-palvelun sekä mahdollisesti myös muiden palvelua käyttävien asiakkaiden tietoturvallisuuden. Kun kriittiset poikkeamat on korjattu, organisaatio voi liittyä palveluun.

Organisaatio haluaa liittyä Virtuun Auditointi- ja konsultointipalvelut VIRTUun liittymisen tukena Organisaation Virtu-auditointi Organisaatio tilaa VIPistä tietoturva- Auditoinnin, joka perustuu TTT:n liitteeseen 1 (hallinnollinen tietoturvallisuus) ja liitteeseen 2 (tekninen) koskien käyttäjähallintajärjestelmää ja -prosessia. Organisaatio haluaa korjata kriittiset poikkeamat Organisaatio joko 1. korjaa löydetyt kriittiset poikkeamat 2. pyytää käyttöpalvelutoimittajaa korjaamaan ne 3. tilaa VIPistä tietoturvaasiantuntija-palvelua, joka yhdessä asiakkaan kanssa tekee tarvittavat korjaukset Jos kaikki on kunnossa, hienoa! Tehdyn työn tarkastaminen ja sopiminen jatkosta Tehdyn työn tarkastaminen ja sopiminen jatkosta Laitetaan homma kuntoon Tuliko jotain korjattavaa? Käytetään VIP auditointipalvelua Suoritetaan VIPin määrittämä auditointi Käytetään VIP konsultointipalvelua Toimeksianto VIPin toimittajien asiantuntijoille

Miten asiassa edetään? Tietoturva-auditointia ja konsultointia koskeviin kysymyksiin vastaavat VIP tietoturvapalveluissa Kimmo Rousku Erja Kinnunen Mervi Virtanen tietoturva.vip@valtiokonttori.fi vip.tietoturva@valtiokonttori.fi www.valtiokonttori.fi/ttt VIRTUa koskeviin kysymyksiin vastaa Tapani Puisto

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute