Tietoturvastandardoinnin verkoston käynnistys 28.9.2016
Viestintäviraston keskeiset tietoturvatehtävät
Vapaus, tasa-arvo, luottamus Viestintävirasto takaa toimivan tietoyhteiskunnan Uusia langattomia palveluita Häiriöttömät viestintäyhteydet Radio ja tv kuuluvat kaikille Puhelin ja netti jokaiselle Turvalliset viestintäyhteydet Tietoa valintoihin, palvelut kohtuuhinnoin Postipalvelut saataville 3.11.2016 3
Kyberturvallisuuskeskuksen päätehtävät Tilannekeskuksen päätehtävät ovat» Kerätä tietoa verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvista tietoturvaloukkauksista ja niiden uhkista sekä viestintäverkkojen ja viestintäpalvelujen vika- ja häiriötilanteista» Tiedottaa tietoturva-asioista sekä viestintäverkkojen ja viestintäpalvelujen toimivuudesta;» Selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia. Teleyritysten tietoturvallisuuden ja varautumisen valvonta ja ohjaus Sähköisen viestinnän yksityisyydensuojaan liittyvien velvoitteiden valvominen Tunnistautuminen ja laatuvarmenteet 3.11.2016 4
Salaustuotteiden, järjestelmien ja verkkojen tarkastus ja hyväksyntä (NCSA) Kansallisen ja kansainvälisen tiedon suojaaminen Yritysturvallisuuden parantaminen Tietoturvallisuuden arviointilaitosten valvonta Viennin edistäminen 3.11.2016 5
SFS Standardisoinnin keskusjärjestö 28.9.2016 Suomen Standardisoimisliitto SFS ry Susanna Vahtila
Suomen Standardisoimisliitto SFS
Standardisoimisliiton jäsenet PSK Standardisointi Ministeriöt (11 kpl) Elinkeinoelämän keskusliitto EK Finanssialan Keskusliitto FK ry Helsingin Yliopisto Kemianteollisuus ry Metsäteollisuus ry Muoviteollisuus ry PSK Standardisointiyhdistys ry Rakennusteollisuus ry Rakennustietosäätiö SESKO ry Standardisoimisyhdistys TEVASTA ry Suomen Laatuyhdistys ry Suomen Rakennusinsinöörien Liitto ry Tekniikan Akateemisten Liitto ry Teknologiateollisuus ry Yleinen Teollisuusliitto ry Öljy- ja biopolttoaineala ry Rakennustietosäätiö RTS
Standardisoimisliiton toimialayhteisöt Yksityiset: Kemesta ry Metalliteollisuuden Standardisointiyhdistys Muoviteollisuus ry Rakennustuoteteollisuus ry SESKO ry Standardisoimisyhdistys TEVASTA ry Yleinen Teollisuusliitto ry Öljy- ja biopolttoaineala ry Valtiolliset Liikennevirasto Luonnonvarakeskus Luke Mittaus ja standardisointi (Vakola) Suomen Ympäristökeskus Viestintävirasto
SFS ja toimialayhteisöt SFS 50 henkilöä Toimialayhteisöt alle 50 Kansalliset seurantaryhmät 2500 - IT-standardisointi 300 ISO, CEN, IEC, Cenelec 700 10
Standardisoinnin maailmankartta Maailmanlaajuinen taso IEC International Electrotechnical Commission ISO International Organization for Standardization ITU International Telecommunication Union Eurooppalainen taso CENELEC European Committee for Electrotechnical Standardization CEN European Committee for Standardization ETSI European Telecommunications Standards Institute Kansallinen taso SESKO Sähkötekninen ala SFS Suomen Standardisoimisliitto SFS toimialayhteisöineen Viestintävirasto Teleala
ISO members
ISO Komiteoita (TC, SC) n. 700 Työryhmiä (WG) n. 3000 Standardeja n. 21000 kpl > 3000 ICT-alueella (ISO/IEC) Työkohteita parhaillaan 5000 kpl 600 ICT-alueelta (ISO/IEC) 13
ISO/IEC/JTC1 14
JTC1 Information technology SC 2 Coded Character Sets SC 6 Telecommunications and information exchange between systems SC 7 Software and systems engineering SC 17 Cards and personal identification SC 22 Programming Languages,their environments and system software interfaces SC 23 Digitally recorded media for information interchange and storage SC 24 Computer graphics, image processing and environmental data representation SC 25 Interconnection of information technology equipment SC 27 IT security techniques SC 28 Office equipment SC 29 Coding of audio, picture,multimedia and hypermedia information SC 31 Automatic identification and data capture techniques SC 32 Data management and interchange SC 34 Document description and processing languages SC 35 User interfaces SC 36 Information technology for learning, education and training SC 37 Biometrics SC 38 Distributed Application Platform and Services SC 39 Sustainability for and by Information Technology SC 40 IT Service Management and IT Governance 15
Keitä mukana Suomessa kaikki relevantit sidosryhmät Yritykset, elinkeinoelämän järjestöt, viranomaiset ja muu julkinen hallinto, tutkimuslaitokset, konsultit, koulutusorganisaatiot, kuluttajat, kansalaisjärjestöt asiantuntijoita mukana SFS:n seurantaryhmissä, osa lisäksi ISOn työryhmissä 16
Suomessa tai Suomesta maailmalle SFS koordinoi, tiedottaa, järjestää kokousinfran Suomessa, pitää kanavat auki ISOon ja CENiin, verkostoituu Suomessa Asiantuntijat yrityksistä, hallinnosta, järjestöistä jne. osallistuvat standardisointiin Suomalaiset saavat hyvin äänensä kuuluviin työryhmissä! Äänestyksissä ISOssa maa/ääni. 17
Kansainvälinen tietoturvastandardointi
Tietoturvallisuuden kansainvälinen standardointi tietoturvallisuus kuuluu yhtenä osana standardointiorganisaatioiden monen komitean/työryhmän toimialueeseen päätehtävänä tietoturvallisuuteen keskittyviä komiteoita/työryhmiä ovat ainakin: ITU-T:ssa: tutkimusryhmä SG17 Security http://www.itu.int/en/itu-t/studygroups/2013-2016/17/pages/default.aspx ISO/IEC JTC1:ssä: SC 27 IT Security techniques http://www.iso.org/iso/home/standards_development/list_of_iso_technical_committees/iso_technical_committee.htm?commid=45 306 ETSIssä: TC Cyber Security (CYBER) https://portal.etsi.org/tbsitemap/cyber/cybertor.aspx CEN:ssä & CENELEC:ssä Cyber security focus group http://www.cencenelec.eu/standards/sectors/defencesecurityprivacy/security/pages/cybersecurity.aspx 3GPP:ssä: SA WG3 Security http://www.3gpp.org/specifications-groups/sa-plenary/54-sa3-security IETF:ssä: Security Area (sec) ja työryhmät (WG) https://trac.tools.ietf.org/area/sec/trac/wiki 3.11.2016 19
ITU ITU (International Telecommunication Union, Kansainvälinen televiestintäliitto) - YK:n alainen televiestintäverkkoja ja -palveluja kansainvälisesti koordinoiva järjestö Jäsenyys organisaatioperustainen (jäsenmaksu), Viestintävirasto hallintona mukana ITUssa ITU:n suositukset vapaasti saatavilla Plenipotentiary Conference Telecommunication Standardization Sector Radiocommunication Sector Telecommunication Development Sector ITU Council World Telecomms Standardization Assembly World Radiocomms Conferences World Telecomms Development Conferences World Conferences on International Telecomms 11 SGs & TSAG Telecomms Standardization Study Groups Radio Regulations Board Radiocomms Study Groups Telecomms Development Study Groups 3.11.2016 20
ITU-T SG17: Security ITU-T:n tietoturvaa käsittelevä tutkimusryhmä Responsible for building confidence and security in the use of Information and Communication Technologies (ICTs). cybersecurity security management countering spam identity management security architecture and framework protection of personally identifiable information security of applications and services application of open system communications including directory 3.11.2016 21
ETSI ETSI (European Telecommunications Standard Institute, Euroopan telestandardointi-instituutti) komission tunnustama eurooppalainen standardointiorganisaatio Jäsenyys organisaatioperustainen (jäsenmaksu), Viestintävirasto ETSIssä mukana hallintona (ja NSO:na) ETSIn standardit vapaasti saatavilla 3.11.2016 22
ETSI TC CYBER ETSIn kyberturvallisuusalueen standardointityö keskitetty ETSIssä TC CYBERille Koordinoi tietoturvatyötä muualla ETSIssä Työalueet: Cyber Security Security of infrastructures, devices, services and protocols Security advice, guidance and operational security requirements to users, manufacturers and network and infrastructure operators Security tools and techniques to ensure security Creation of security specifications and alignment with work done in other TCs 3.11.2016 23
3GPP 3rd Generation Partnership Project (3GPP) - globaali alueellisten standardointiorganisaatioiden yhteenliittymä matkaviestinverkkojen standardointiin Jäsenyys alueellisen organisaation jäsenyyden kautta, Viestintävirasto jäsen ETSIn kautta 3GPP spesifikaatiot vapaasti saatavilla PROJECT COORDINATION GROUP (PCG) TSG GERAN GSM EDGE Radio Access Network TSG RAN Radio Access Network TSG SA Service & Systems Aspects TSG CT Core Network & Terminals 3.11.2016 24
3GPP SA WG 3 tietoturvan standardointi päävastuu on TSG SA:n (Technical Specification Group Service and System Aspects) työryhmällä WG3 security and privacy in 3GPP systems (security and privacy requirements and security architectures and protocols) ensures the availability of cryptographic algorithms which need to be part of the specifications 3.11.2016 25
IETF (Internet Engineering Task Force) Internet-alueen tärkein foorumi avoin kaikille halukkaille (henkilöjäsenyys ilmainen) standardit IESG:n alaisissa alueissa (area) ja niiden työryhmissä standardit vapaasti saatavilla Applications and Real-Time (art) Transport (tsv) 3.11.2016 26
IETF tietoturva-alue ryhmä sec - työryhmät abfab ace acme cose curdle dots httpauth i2nsf ipsecme jose kitten lamps mile oauth openpgp sacm tls tokbind trans Application Bridging for Federated Access Beyond web Authentication and Authorization for Constrained Environments Automated Certificate Management Environment CBOR Object Signing and Encryption CURves, Deprecating and a Little more Encryption DDoS Open Threat Signaling Hypertext Transfer Protocol Authentication Interface to Network Security Functions IP Security Maintenance and Extensions Javascript Object Signing and Encryption Common Authentication Technology Next Generation Limited Additional Mechanisms for PKIX and SMIME Managed Incident Lightweight Exchange Web Authorization Protocol Open Specification for Pretty Good Privacy Security Automation and Continuous Monitoring Transport Layer Security Token Binding Public Notary Transparency 3.11.2016 27
Kansallinen IT- ja tietoturvastandardoinnin koordinointi Suomen Standardisoimisliitto SFS ry Elina Huttunen 28.9.2016
IT-standardisointi
IT-standardisoinnin seurantaryhmät SR 301 Terveydenhuollon tietotekniikka SR 304 Paikkatieto SR 305 Opetusteknologia SR 306 Dokumenttiformaatit SR 307 Tietoturvatekniikat SR 308 IT:n ja IT-palveluiden johtaminen SR 309 Automaattinen tunnistus ja tiedonkeruu SR 310 Pilvipalvelut ja hajautetut järjestelmät SR 311 Resurssitehokkaat datakeskukset SR 312 Biometriikka ja kortit
SR 307 Tietoturvatekniikat Seuraa JTC1:n alakomiteaa SC27 IT Security Techniques Seurantaryhmätoiminnassa Otetaan Suomen näkökulmasta kantaa standardisointityöhön Osallistutaan ja raportoidaan kv-kokouksista Valitaan ja valmistellaan käännettävät standardit Valmistellaan oppimateriaaleja Vaihdetaan näkemyksiä ajankohtaisista aiheista
JTC1/SC27 IT Security Techniques IT Security techniques -alakomiteassa on viisi työryhmää: WG 1 Information security management systems (ISMS) WG 2 Cryptography and security mechanisms WG 3 Security evaluation, testing and specification WG 4 Security controls and services WG 5 Identity management and privacy technologies
CEN-CENELEC CEN-CENELEC Focus Group on Cybersecurity CEN/CLC/JWG 8 Privacy management in products and services
Tulevia tapahtumia 11.10.2016 SFS-ISO/IEC 27000 Tietoturvallisuuden hallintajärjestelmät. Yleiskuvaus ja sanasto -julkaisutilaisuus 27.10.2016 SFS Forum, Älykkääseen yhteiskuntaan standardeilla 22.11.2016 Yhteisseminaari pilvipalvelut, palvelunhallinta, tietoturva 29.11.2016 SFS-ISO/IEC 27799 Tiedonhallinta terveydenhuollossa standardin ISO/IEC 27002 avulla -julkaisutilaisuus
Osallistumalla Saat ennakkotietoa ISOn kansainvälisestä ja CENin eurooppalaisesta työstä ja syvennät osaamistasi Pääset vaikuttamaan standardeihin ja kommentoimaan niiden sisältöä valmisteluvaiheessa Verkostoidut suomalaisten alan toimijoiden kanssa Tarkempia tietoja http://sfsedu.fi/osallistujavaikuta/
Ajankohtaista tietoa IT-standardeista ja standardisoinnista IT-standardisointi: www.sfs.fi/it Osallistu ja seuraa Uutiskirje IT-standardisointi http://sfsedu.fi/osallistujavaikuta lausunto.sfs.fi kommentoi standardiluonnoksia Twitter @standardeista Hyödyllistä tietoa ja materiaaleja www.sfs.fi www.sfsedu.fi Issuu Slideshare SFS Kauppa sales.sfs.fi
Kiitos!
Kansallinen tietoturvastandardoinnin verkosto
Viestintäviraston standardointitoiminta Viestintävirasto ITUssa hallintona ja ETSIssä hallintona ja standardointiorganisaationa edustaa Suomea päättävissä elimissä hoitaa kansalliset lausuntokierrokset osallistuu joihinkin kansainvälisiin ryhmiin, mutta erityistä tietoturvastandardoinnin osallistumista/seurantaa ei ole ollut 3.11.2016 39
Tulossopimustavoite Suomalaisten laitevalmistajien ja palveluntarjoajien mahdollisuudet vaikuttaa eurooppalaiseen ja kansainväliseen standardointiin paranevat. Suomalaisia yrityksiä autetaan osallistumaan standardointityöhön viestinnän luottamuksellisuutta parantavien tietoturvallisten palveluiden ja laitteiden kaupallisen saatavuuden, käytön ja viennin edistämiseksi. 3.11.2016 40
Standardointi tietoturvallisuusstrategiassa Liikenne- ja viestintäministeriön julkaisuja 4/2016: Maailman luotetuinta digitaalista liiketoimintaa. Työryhmän ehdotus Suomen tietoturvallisuusstrategiaksi Strategian tavoitteina on, että:» 3) Suomalaiset yritykset hyötyvät kansainvälisistä standardeista ja markkinoilla on saatavilla digitaalisia hyödykkeitä, joiden tietoturva on sisäänrakennettua; TOIMENPITEET:» Muodostetaan kansallinen verkosto, joka edesauttaa suomalaisia yrityksiä osallistumaan standardointityöhön viestinnän luottamuksellisuutta parantavien tietoturvallisten palveluiden ja laitteiden kaupallisen saatavuuden, käytön ja viennin edistämiseksi.24» 24 Vastuutahot: Viestintävirasto, Suomen Standardoimisliitto SFS ry 3.11.2016 41
Kansallisen verkoston perustehtävät tiedonvaihto ja toimijoiden välinen yhteistyö kansallisesti tärkeiksi nähdyillä tietoturvastandardoinnin osa-alueilla siten, että kansallisilla toimijoilla on ajantasainen tieto kyseisten alueiden kansainvälisestä standardoinnista ja standardointiin suoraan vaikuttavasta säädännöstä kansainvälisessä tietoturvastandardoinnissa esiin nousevissa merkittävissä asiakysymyksissä voidaan muodostaa kansallinen näkemys lähtökohtana kansainvälisyys ei kansallisia standardeja mukana kaikki osa-alueet: tietoturva verkoissa, palveluissa ja tuotteissa myös tietoturvatuotteiden sertifiointi 3.11.2016 42
Toimenpiteet SFS:n seurantaryhmä SR 307 (+ muut tietoturvaan liittyvät seurantaryhmät) jatkavat avoimina ryhminä erityisesti ISO/IEC JTC 1 SC 27 toiminnan ja CEN/CENELEC-yhteistyöryhmän seurannassa Viestintävirasto perustaa avoimen kansallisen verkoston, jonka painopistealueita ovat ITU-T:n, ETSIn, 3GPP:n ja IETF:n tietoturva-alueen ryhmät sekä tietoturvatuotteiden sertifiointi SFS:n ryhmät ja verkosto on avoimia, joten henkilö voi kuulua molempiin tiedon välitys ryhmien välillä pyritään hoitamaan tehokkaasti esimerkiksi nimeämällä yhdyshenkilö/henkilöt, jotka raportoivat ryhmien kokouksissa 3.11.2016 43
Verkoston toimintatavat Tietoturvastandardoinnin verkosto ehdotus toimintatavoiksi: o Verkostokokous 2-4 kertaa vuodessa o o kussakin kokouksessa pääpaino tietyssä tietoturvastandardoinnin osaalueessa esityksiä verkoston jäseniltä o Viestintävirasto hoitaa puheenjohtaja- ja sihteeritehtävät o Verkosto voi asettaa erityisryhmiä, jotka kokoontuvat tarpeen mukaan (raportoivat verkostokokoukselle) o Verkostolle perustetaan listserv-lista (tarvittaessa erityisryhmille omat listat) verkostokokouksissa ja jakelulistalla toivotaan kaikilta aktiivista tiedonvaihtoa kaikista tietoturvastandardointiin liittyvistä asioista Vivi tiedottaa seuraamiensa kansainvälisten ryhmien toiminnasta o Viestintävirasto perustaa tietoturvastandardoinnin verkostolle wwwsivut, joilla ylläpidetään tietoja verkoston toiminnasta ja merkittävistä tietoturvastandardoinnin tapahtumista 3.11.2016 44
Loppukeskustelu
Painopistealueet ja toiminta toiminnan organisointi toimijoiden näkemykset (kommentit esitettyihin, muita ideoita, jne.) tietoturvastandardoinnin painopistealueet toimijoiden näkemykset (esim. akuutit aihealueet?, jne.) 3.11.2016 46
Jatko Verkoston listserv-lista TIESTA@listserv.ficora.fi» liittyminen Verkoston ensimmäinen varsinainen kokous» marras-joulukuu sovitaan myöhemmin» Aiheita: teema?, tietoturvastandardoinnin ajankohtaiset asiat, standardointiin vaikuttava säädäntö,... 3.11.2016 47
www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi