Jatkuvuuden varmistaminen kriittisessä ympäristössä SADe-ohjelman tietosuoja- ja tietoturvailtapäivä 26.11.2014 Aku Hilve
http: ://www.capitolhillblue.com/node/47903/060413internet 2
Varautumisella ymmärretään kaikki ne hallinnolliset, toiminnalliset ja tekniset toimenpiteet ja ratkaisut, joilla varmistetaan tiedon saatavuus ja palveluiden l mahdollisimman häiriötön toiminta kaikissa tilanteissa sekä mahdollistetaan palvelujen sopimusten mukainen, ki palvelutasojen l avulla määritetty toipuminen häiriöistä. 3
ICT varautuminen on riskienhallintaan pohjautuvaa ICT toiminnan jatkuvuuden hallintaa ja tiedon turvaamista niin normaaliolojen häiriötilanteissa kuin poikkeusoloissa. Uhkamallit Riskien hallinta Häiriötilanteiden hallinta ICT-palvelujen jatkuvuus Kansalaiset Julkishallinto lli Elinkeinoelämä Viranomaiset CERT-FI Palvelun tuottajat Yhteiskunnan infrastruktuurin käytettävyys Kaikkien palvelun tuottamiseen osallistuvien saumaton yhteistyö on varautumisen perusta ja edellytys palvelujen jatkuvuudelle häiriötilanteissa.
Muutostrendit Palvelut, prosessit, tuotantoketjut ja järjestelmät automatisoituvat, monimutkaistuvat, integroituvat ja verkottuvat voimakkaasti. Tietojen yhteiskäyttö laajenee ja automatisoituu. Palvelukokonaisuudet hankitaan usean toimittajan palveluverkostolta. ICT-palveluketjujen omistus- ja sopimussuhteissa tapahtuu jatkuvasti muutoksia. Kansainvälisen yhteistoiminnan ja ohjauksen merkitys kasvaa voimakkaasti. Uhkaympäristö ja uhat muuttuvat yllätyksellisemmäksi, ammattimaisemmaksi ja vakavammaksi. 5
Palveluverkoston on kyettävä normaaliajan häiriötilanteissa ja yhteiskunnan turvallisuusstrategian mukaisissa uhkamalleissa jatkamaan toimintaansa asetettujen vaatimusten mukaisesti. Uhkaympäristö Yritykset Muut virastot Sidosryhmät Kumppanit Äkillisyys Järjestelmä A Tietovaranto Ennakoimattomuus Eskaloituminen? Järjestelmä B Palvelujen paikallinen alueellinen valtakunnallinen - globaali sekunteja minuutteja tunteja päiviä - viikkoja Perusrekisteri käyttäjät Kunnat Ministeriöt Virastot ja laitokset
ICT-varautumisen vaatimukset Vaatimukset on ryhmitelty kuuteen osioon. Vaatimuskorteissa yksilöidään vaatimukset perus, korotetulle ja korkealle tasolle. Johtajuus Strategiat ja toiminnan suunnittelu Henkilöstö Kumppanuudet ja resurssit ICT-jatkuvuuden hallinta Mittaaminen ja raportointi
Strategisen ohjauksen keskeinen tehtävä on määrittää organisaation ja palveluiden varautumistarpeet ja viedä varautuminen yhtenäisesti tulosohjaukseen sidottuna osaksi kunkin organisaation johtamista sekä toiminnan ja talouden suunnittelua ja toteutusta. Riskianalyysi Toiminnan tarpeet tja vaatimukset t Seuranta: Raportointi Mittaaminen Auditointi YTS- uhkamallit Helppokäyttöinen, luotettava ja turvallinen palvelu sekä käyttövarma ICT infrastruktuuri Toteutusvaatimukset Palvelutaso Elinkaaren k hlli hallinta Varautuminen Johtajuus
ICT-jatkuvuuden hallinta Normaali- palvelutaso l Toiminnan keskeyttäväk ä taso Vaikutuksen pienentäminen Toipumisen nopeuttaminen aika Riskien hallinta Jatkuvuussuunnittelu Päätöksen teko Tapahtuman hallinta Palautuminen Tiedon turvaaminen Valmiussuunnittelu
Riskienhallinnan avulla varautumistoimenpiteet ja resurssit mitoitetaan ja kohdennetaan tarkoituksenmukaisesti edistämään organisaation toimintaa ja toiminnan häiriönsietoa. Todentaminen Uhkamallit Uhka-arviotarviot Säädäntö Tehtävät Suojattavat asiat Käytettävissä olevat resurssit Riskianalyysi Viktt Vaikuttavuusanalyysi i Suojaus- toimenpiteet Jäännösriskit Häiriötilanteen hallinnan toimenpiteet Palautumisen toimenpiteet Toiminnan suunnittelu 8
Varautumisen velvoitteet ulotetaan sopimuksissa koko alihankintaketjuun ja palvelutuottajaverkostoon ottaen huomioon kunkin tuotettavan palvelun luonne ja sopijaosapuolten rooli palvelun tuottamisessa. Tietohallinto Hankkija Myyjä Integraattori Palveluverkosto Käyttäjäorganisaatio Tarpeiden ja vaatimusten välittyminen?? Rajoitteiden/riskien välittyminen?? Palveluyksikkö x Yritys E Yritys D Yritys C Yritys F Toteutetaanko palvelut ja järjestelmät toiminnan tarpeiden mukaisesti? Ovatko käyttö- ja tukipalvelut sekä tarvittavat ylläpitoresurssit käytettävissä myös häiriötilanteissa ja poikkeusoloissa? Kumppanit
Kumppani- ja palveluntoimittajaverkoston kanssa sovitaan toimintamallit ja vastuut häiriötilanteiden varalle.? Kumppanit
ICT-jatkuvuuden hallinta Julkishallinnon palveluissa on varauduttava yhteiskunnan turvallisuusstrategian uhkamallien mukaisiin tapahtumiin ja varmistettava häiriötilanteissa toiminnan luonteen edellyttämä jatkuvuus. Häiriösietoisten palvelujen kustannustehokas toteuttaminen edellyttää, että ICT-varautumisen vaatimuksia arvioidaan ja toteutetaan kaikissa järjestelmän elinkaaren vaiheissa ICTjatkuvuus
Kysymyksiä Haluaisin kuulla miten varmistetaan jatkuvuuden ja ICT-varautumisen velvoitteet yhä hupenevin resurssein. Täytyykö vaatimustasosta tinkiä? Lisätietoja: http://www.vm.fi/vahti ICT-varautumisen vaatimukset, VAHTI 2/2012 14