VAHTI kuntien tietoturvajaoston toimintakatsaus

Samankaltaiset tiedostot
VAHTI-toiminta ja kuntien tietoturvajaosto Kimmo Rousku, VAHTI-pääsihteeri JUHTA

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

VAHTIn toiminta

VÄESTÖREKISTERIKESKUKSEN DIGITURVAPALVELUT. Kirsi Janhunen, johtava asiantuntija, VRK

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Espoon kaupunki Tietoturvapolitiikka

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

Valmiuspäällikkö Sakari Ahvenainen. Valmiusohje ja ajankohtaista varautumisesta. Helsingin TIVA ja joukkoviestintäpooli (JVP)

Tietoturvapolitiikka Porvoon Kaupunki

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Maakuntien asema ja rooli varautumisen toimijoina

Tietoturvavastuut Tampereen yliopistossa

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Tietoturvapolitiikka

TIETOTURVAPOLITIIKKA

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Vihdin kunnan tietoturvapolitiikka

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen Valtiovarainministeriö

Katsaus tieto- ja kyberturvallisuuden tilanteeseen. Aku Hilve JUHTA

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASIANTUNTIJAJAOSTON ASETTAMINEN

Valmius ja jatkuvuudenhallinta soterakenteissa Sari Vuorinen. Projektipäällikkö Kuntaliitto

Tietoturva- ja tietosuojapolitiikka

VAHTIn kesäseminaari Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus VAHTI

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Espoon kaupunki Tietoturvapolitiikka

VARAUTUMINEN SOPIMUKSIN KYBERTURVALLISUUSUHKIIN Varautumispäällikkö Erkki Räsänen Huoltovarmuuskeskus, Infrastruktuuriosasto

Kansallinen kyberturvallisuusharjoitus miten harjoitus tekee mestarin?

Tietotilinpäätös tietosuojan dokumentoinnissa Parhaat käytännöt: tietotilinpäätösmalli

TAISTO18-harjoitus - palauteseminaari

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Tietohallintoyhteistyö Pohjois-Suomessa

Miten Väestörekisterikeskus valmistautuu lainsäädäntöuudistukseen?

Keskeiset muutokset varautumisen vastuissa 2020

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1

Karkkilan kaupungin tietoturvapolitiikka

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

VAHTIn kesäseminaari Kimmo Rousku VAHTI

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

Sovelto Oyj JULKINEN

TIETOTURVAA TOTEUTTAMASSA

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus

JUHTA-asiantuntijaryhmä tietoturva, tietosuoja, varautuminen Toteuma v. 2017, suunnitelma v. 2018

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Heikki Talkkari / VM

Kooste riskienhallinnan valmistelusta

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Tietoturvapolitiikka. Hattulan kunta

Tietotilinpäätös osoitusvelvollisuuden toteuttamisessa

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Sopimuksiin perustuva toiminnan jatkuvuuden hallinta

Digital by Default varautumisessa huomioitavaa

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Lapin yliopiston tietoturvapolitiikka

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Laatua ja tehoa toimintaan

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Tommi Oikarinen / VM

Tietoturvapolitiikka

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen - seminaari

TIETOSUOJATYÖN ORGANISOINTI

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Miten uudistettu VAHTI voi auttaa organisaatiotasi turvallisuuden kehittämisessä? Kimmo Rousku

Jatkuvuuden varmistaminen

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Valtorin strategia. Päivitetty

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Tietoturvan johtaminen ja vastuut

Valtioneuvoston asetus

KUJA-projektien parhaat käytännöt ja opit

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Miltä kyberturvallisuuden ja tietosuojan tilanne näyttää julkisessa hallinnossa VM:n mittareiden ja kyselyiden valossa? Kolme kehittämistoimenpidettä

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Tommi Oikarinen / VM

TOIMINNAN JATKUVUUDEN HALLINTA

Uuden sairaalan kokonaisturvallisuus. Juhana Suurnäkki FM, CISM

Sosiaali- ja terveysalan kehittämisen ja johtamisen koulutus

Transkriptio:

VAHTI kuntien tietoturvajaoston toimintakatsaus Harri Ihalainen, kuntien tietoturvajaoston puheenjohtaja, Rovaniemen kaupunki VAHTI

FM, HTT, Harri Ihalainen tietohallintojohtaja CV:stä Ammattimetsuri 10 v, Kuljetusliikkeen toimitusjohtaja 2v, Suunnitteluinsinööri 5v, Tulosyksikön päällikkö 5v, Tietohallintojohtaja 7v, Väitöskirja: Tietohallinto osana julkishallinnon sähköistä muutosta Harrastukset: Päitsi, karate (mustavyö), hiihto.. 2

Apollo 13 epäonnistunut projekti, paras esimerkki onnistumisesta! 3

Valtiovarainministeriö; Tietoturvajaoston asettaminen ja tavoitteet

Asettamispäätös Työryhmän asettamispäätös 6.5.2015 31.12.2016 Yleisenä tavoitteena on parantaa kuntien tieto- ja kyberturvallisuutta sekä parantaa kuntien toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista Jaosto edistää hallitusohjelman, yhteiskunnan turvallisuusstrategian ja Suomen kyberturvallisuusstrategian toimeenpanoa. Ryhmän jäsenmäärä noin 10hlö 5

Työrunko 2016 Valmistella tietoturvan web-pohjaista koulutusympäristöä, pohjautuu VM:n koulutusympäristöön Kunnille (työntekijöille) suunnattu tietoturvakysely Tieto- ja kyberturvallisuuden viisi (5) alueseminaaria syksylle 2016 Jatkotyön suunnittelu ja loppuraportti Liittyi myös VIRT-toimintaan keväällä 2016, tästä myöhemmin tarkemmin lisää 6

Työryhmän keskeisemmät tulokset vuodelta 2015

Työ käynnistyi toukokuussa 2015 Työryhmän kokoaminen ja työskentely online-alustoilla Tieto- ja kyberturvallisuuden kuntakysely syksyllä 2015 Kuntajohdon tietoturvaseminaari ja tulosten julkaisu 8

Tieto- kyberturvallisuuden kuntakyselyn tulokset

Kuntakyselyn yhteenveto Kysely pohjautui valtionhallintoon >10 vuoden ajan tehtyyn vastaavanlaiseen VAHTI-kyselyyn Saimme vastauksia 93 kpl (29,3 % vastausprosentti) Kyselyn aktiivisuus oli hyvä, vaikka ajankohta ei ollut paras (lähetettiin heinäkuun puoliväli, vastausaikaa elokuun loppuun eli osin keskellä lomakautta) Vastanneille kunnille on toimitettu heidän vastauksensa PDF-muodossa sekä Excel-tiedosto, jossa kunnan tuloksia on verrattu keskiarvoon

TOP 5 parhaiden toteutuvat Organisaatiossa on sovittu käyttövaltuuksien hallintaperiaatteet? 90% Vakavista tietoturvapoikkeamista kerrotaan organisaation johdolle viivytyksettä? 89% Organisaatiossa on tunnistettu ja eriytetty tietoverkon eri suojaustasoa vaativat osat ja eri suojaustason verkkojen välistä liikennettä rajoitetaan ja suodatetaan? 89% Onko erilliset tietojenkäsittelyn toimintaympäristöt ja niihin kuuluvat järjestelmät ja toiminnot tunnistettu? 86% Tunnusten ja valtuuksien myöntö, muuttaminen ja poisto on organisoitu ja vastuutettu käyttövaltuuksien hallintaperiaatteiden mukaisesti? 86% Vastaus 1=EI Vastaus 2=KYLLÄ

DOWN 6 eniten kehittämistä kaipaavat Onko organisaationne sopimuksissa sovittu turvallisuusselvityksien tekemisestä palveluntoimittajista? 15% Onko organisaatiossanne käytössä turvallisuusselvitysmenettely? 19% Onko organisaation ICT-jatkuvuussuunnitelmaa harjoiteltu? 19% Onko kaikissa mobiilipäätelaitteissa suojausratkaisu? 23% Tieto- ja kyberturvallisuudesta raportoidaan organisaation johdolle säännöllisesti? 28% Viestintään liittyvien välitystietojen käsittelyssä noudatettavien menettelyjenperusteet ja käytännöt on käsitelty yhteistoiminnassa tietoyhteiskuntakaaren mukaisesti? 29%

Pari muuta havaintoa Onko organisaatiolla ICT-toipumissuunnitelmia? 44% Onko organisaatiolla ICT-valmiussuunnitelma? 47% Onko organisaatiossanne käytössä etätyön ohjeet, jossa ohjeistetaan tietoturvallisista toimintatavoista ja oman talon tietoteknisistä pelisäännöistä? 48% Onko organisaatiolla käytössä organisaatiotason riskienhallintamenetelmä (asiakirja jossa on kuvattu riskienhallintaan liittyvät periaatteet) ja säännöllinen riskiraportointi johdolle? 59%

Tekninen tietoturvallisuus Käytetäänkö organisaatiossanne: Haittaohjelmatarkastusta saapuville htmlsivuille 75% Käytetäänkö organisaatiossanne: Tunkeutumisen havaitsemisjärjestelmiä IDS tai vastaava? 45% Käytetäänkö organisaatiossanne: Salausteknologiaa sähköpostiviestinnän ja viestinvälityksen suojaamisessa 44% Käytetäänkö organisaatiossanne: Käyttöoikeuksien hallintajärjestelmää (IDM / IAM)? 24% Käytetäänkö organisaatiossanne: Salausteknologiaa tiedostojen, hakemistojen ja kovalevyjen suojaamisessa 22%

Huomioita, johtamisen näkökulmasta Kysymykset saattoivat olla liian teknisiä tietoturvakysymyksiä Kysymyksissä ei huomioitu viestinnästä, mm. kriisiviestintä Kysely kohdistui kunnan johdolle, vastauksista ilmenee ¾ kuntajohdosta käsittelee tietoturva-asioita Kunnilla (44%) ei ole tiedossa missä tietoverkoissa kunta on mukana ja/tai missä rooleissa sopimuskumppanit toimivat. Osataanko vaatia? Mobiililaitteiden suojausasiat epäselviä

Huomioita, johtamisen näkökulmasta Palveluntoimittajien (n. 50%) kanssa ei ole tietosuojasitoumuksia. varautumisen asiat saatetaan kokea pelkästään teoreettisina, joskus kyllä harjoitellaan, mutta sitten opittu heti unohdetaan kokonaiskuva varautumisesta, valmiussuunnittelusta jatkuvuudesta ja toipumisesta saattaa ainakin osittain olla hämärän peitossa Etätyöohjeistukset epäselviä tai niitä ei ole Kuntajohtajat ei osaa vaatia selkeäkielistä tietoturvajohtamista

Tulokset tiivistettynä Kunnat toimivat minimi-tasolla Tietoturvavastuut mahdollisesti puuttuvat työsopimuksista Riski varautuminen valmius jatkuvuus toipumis = 1? Kuntajohtaja ulkoistaa tietoturvallisuuden ATK-väelle Käsitteet outoja SOTE sektorilla tietoturva ja tietosuoja on jo osana johtamista, hyvä havainto!

TIETO- JA KYBERTURVALLISUUDEN TAVOITEET TULEVAISUUDEN KUNNALLE

Tilanteessa voi ainoastaan minimoida vahingot! Tilanteessa erinomaisella osaamisella voi välttää vahingot! Tilanteita ei tule ja on aikaa reagoida riskeihin ja välttää vahingot!

TOIMENPITEET

Toimenpiteet Tietoturvariskit ovat todellisia; resursointi, johtamisvastuu, raportointi ja kehittäminen Tietotilinpäätös mahdolliseksi aputyökaluksi (kunnille lokalisoitu versio) Varautuminen täytyy olla todellista ja johdettua Tietoturvallisuutta ei voi ulkoistaa pelkästään turvallisuuden erityisasiantuntijoille; homma hoidossa periaatteella ei riitä Kuntajohtajan ote tietoturvallisuuden johtamiseen Tietoturvallisuuden tiekartta nykytilasta tavoitetilaan (mitattavuus) Perehtyä tieto- ja kyberturvallisuuteen

Mikä on VIRT? Virtual Incident Response Team Perustettu valtiovarainministeriön SecICT-hankkeessa VIRT-jäsenet vastaavat organisaatiossaan tietoturvapoikkeamatilanteiden koordinoinnista VIRT-ryhmien tehtävänä on suunnitella ja harjoitella keskeisimpiä yhteisiä toimintatapoja sekä selvittää vastuita, rooleja ja yhteistyötä erilaisissa vakavissa ja laajoissa tietoja kyberhäiriötilanteissa. VIRT-toiminnan hyviä käytänteitä jaetaan muualle julkiseen hallintoon 22

Vahvuudet Tietoperusteisetpalvelut asianhallinta (Pilvi)palvelut Internet palvelut Ulkoiset ja sisäiset sovellukset ICT ohjelmistot lisenssit 24/7 tuki

Konkretiaa v 2016 Tietoturvallisuus Tietosuoja Jatkuvuuden hallinta ja varautuminen Riskienhallinta

Alustava ehdotus osa-alueista miten kehitetään? Tietoturvallisuus mitä tuleva tiedonhallinnan ja tietojenkäsittelyn laki tuo mukanaan entä SOTE ja itsehallintoalueet? varautuminen tuleviin tietoturvallisuutta koskeviin vaatimuksiin Jatkuvuuden hallinta ja varautuminen - V 2014-2016 KUJA-projekti projekti kuntien jatkuvuudenhallinnan kokonaiskonseptin kehittämiseksi sekä jalkauttamiseksi projektin hyötyjen tukeminen ja tämän mallin hyödyntäminen - valtionhallintoon kehitettävän BIA-mallin ja ohjeistuksen jalkauttaminen Riskienhallinta - valtionhallintoon kehitettävän mallin jalkauttaminen (prosessi, työväline, koulutus) Tietosuoja - Varautuminen EU-tietosuoja-asetuksen edellyttämiin toimenpiteisiin omassa toiminnassa sekä tuotettavissa palveluissa alihankkijat Keskustelu miten TE haluaisitte meidän teitä auttavan? Sekä edellisiin kokonaisuuksiin liittyvän ohjeistuksen, koulutuksen ja muun tietoisuuden toteuttaminen tulevan VAHTI-tietoturvaportaalin tukemana (koulutukset, materiaalipankki) 25

26

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute