Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Samankaltaiset tiedostot
Virtu tietoturvallisuus. Virtu seminaari

Tietoturvapolitiikka

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

VIRTU ja tietoturvatasot

Tietoturvapolitiikka

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Laatua ja tehoa toimintaan

Valtion IT-palvelukeskuksen tietoturvapalvelujen ajankohtaiset kuulumiset

Vahva vs heikko tunnistaminen

Sähköi sen pal l tietototurvatason arviointi

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturvapolitiikka

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Viestintäviraston tietoturvapolitiikka

TIETOTURVAN KEHITTÄMISHANKE LOPPURAPORTTI LUOVUTETTU YLIOPISTON LAADUNKEHITTÄMISRYHMÄLLE JYVÄSKYLÄN YLIOPISTO

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

TIETOTURVAPOLITIIKKA

Kokemuksia ja näkemyksiä tietosuojaasetuksen

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Tietoturvapalvelut valtionhallinnolle

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Tietoturvavastuut Tampereen yliopistossa

Lapin yliopiston tietoturvapolitiikka

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

TIETOTURVAPOLITIIKKA

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Valtioneuvoston asetus

VALTIONHALLINNON DIGITAALISEN TUR- VALLISUUDEN ASIANTUNTIJAPALVELU VAL-DIAS PALVELUKUVAUS. Auditointi- ja konsultointipalvelut

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Standardit tietoturvan arviointimenetelmät

Tutkimuslaitosseminaari

Katsaus tieto- ja kyberturvallisuuteen. Valtorin tietoturvaseminaari Paasitorni Kimmo Rousku Apulaisjohtaja, tietoturvapalvelut

Tietoturva Kehityksen este vai varmistaja?

Tietoturvapolitiikka. Hattulan kunta

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

Sovelto Oyj JULKINEN

VAHTI Ohjejaosto - vuosi toimintaa

Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Valtorin kokonaisvaltaisen riskienhallinnan ja kokonaisturvallisuuden toteuttaminen

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

Katsaus tieto- ja kyberturvallisuuden tilanteeseen. Aku Hilve JUHTA

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Aika: Perjantai klo Kollegion kokoushuone, Rehtoraatti, yliopiston päärakennus

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Karkkilan kaupungin tietoturvapolitiikka

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Apteekista löytyy listaus tärkeimmistä säädöksistä. Apteekista löytyy listaus ydinprosesseista ja niiden vastuuhenkilöistä.

Suorin reitti Virtu-palveluihin

SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa

TT-turvallisuusjohtamisjärjestelmän rakentamisen vaiheet

Consultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja

Tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Tietoturvallisuuden standardisointiverkosto - Kokous 1/2018 VAHTI Kimmo Rousku, VAHTI-pääsihteeri, Väestörekisterikeskus

Laatu syntyy tekemällä

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Valtorin lokienhallinta- ja SIEM-ratkaisujen kilpailutus

Luonnos LIITE 1

Tietoturva- ja tietosuojapolitiikka

Tietoturvallisuuden johtaminen

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Valtori Kehittäminen ja laatu

Espoon kaupunki Tietoturvapolitiikka

Teknisen ICT-ympäristön tietoturvataso-ohje

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Toimitilojen tietoturva

Kasva tietoturvallisena yrityksenä

Kohti turvallista hoitoa prosessien riskien hallinnalla. Petri Pommelin kehittämispäällikkö PSHP

REKISTERINPIDON JA KÄYTÖNVALVONNAN HAASTEET

Käyttövaltuushallinnan hyödyt tehokkaasti käyttöön. Johanna Lampikoski, RM5 Software Juha Arjonranta, TeliaSonera Finland

Senaatin tietojärjestelmien ja ICT-palveluntoimittajien tietoturvavaatimukset (Senaatin ympäristöön toteutettava järjestelmä)

Auditointi. Teemupekka Virtanen

Kertausta lähtökohtiin liittyen

Tietoturvakonsulttina työskentely KPMG:llä

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Yritysturvallisuuden johtamisen arviointi

Yritysturvallisuuden johtamisen arviointi

Loppuyhteenveto. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Valtorin tarjoamat tietoturvapalvelut. Valtorin tietoturvaseminaari Kimmo Rousku Apulaisjohtaja, tietoturvapalvelut

Auditoinnit ja sertifioinnit

Tietoturva hallinnossa Jukka Kuoksa, Johtava vesitalousasiantuntija

Transkriptio:

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa Valtorin tietoturvaseminaari 2.4.2014 Pekka Ristimäki Johtava asiantuntija, CISM, CISSP, CRISC Valtori / Tietoturvapalvelut

Mikä on hallintajärjestelmä? Hallintajärjestelmä sisältää tietoturvallisuuden johtamiseen ja hallintaan liittyvän organisaatiorakenteen politiikat periaatteet suunnittelu- ja kehittämistoimenpiteet vastuut menettelytavat menetelmät prosessit mittarit resurssit 2

Mikä on hallintajärjestelmä? Tietoturvallisuuden hallinta perustuu valtionhallinnon tietoturvallisuudelle asettamiin vaatimuksiin sekä riskien tunnistamisesta lähtevään tietoturvallisuuden jatkuvaan kehittämiseen prosessimaisella toiminnalla. Tämän esityksen pohjana on Valtion IT-palvelukeskuksen tietoturvallisuuden hallintajärjestelmä, joka muodostaa myös kehitteillä olevan Valtorin hallintajärjestelmän rungon. Hallintajärjestelmä tukee Valtorin toiminnan häiriöttömyyttä, jatkuvuutta ja tavoitteiden saavuttamista. 3

Hallintajärjestelmän rakenne Ohjaavat tekijät Lait, asetukset, määräykset ja ohjeet Valtoriin strategia, tavoitteet ja tehtävät HALLINTAJÄRJESTELMÄ T i l a t Jatkuvien palvelujen tietoturvallisuuden hallinta Tietoturvapolitiikka Tietoriskien hallinnan politiikka Organisaation Jatkuvuuspolitiikka toiminta Vuosikello ja suojattavat kohteet Hankkeiden tietoturvallisuuden hallinta Kehityssuunnitelma Periaatteet Ohjeet, mallipohjat ja työkalut Prosessit Tietoturvallisuuden hallintajärjestelmän kehittäminen ja ylläpitäminen Tietoriskien hallinta Tietoturvapalvelujen tuottaminen Häiriötilanteiden hallinta I h m i s e t Tiedot ja tietojärjestelmät 4

Suojattavat kohteet ja niiden tärkeyden arviointi Suojattava kohde Tietojärjestelmät Tiedot Tilat Kohteen tärkeyden arviointi Kriittisyys/tärkeysluokittelu (työkalu tai manuaalinen arviointi) Mitä salassa pidettävää ja mihin suojaustasoon kuuluvaa tietoa meillä on? Missä tietojärjestelmissä ja tiloissa käsitellään? Missä muodossa (sähköinen, paperinen). Luokittelupäätös=> tietoaineiston käsittelyohjeet Tilojen luokittelu. Eri tyyppisiä tiloja, kuten konesalit, toimistotilat ja julkiset tilat => tilat luokiteltava eri turvallisuusvyöhykkeisiin mm. sen mukaan, minkä suojaustason tietoaineistoa kyseisessä tilassa käsitellään. Organisaation tärkeimmän suojattavan kohteen, eli henkilöstön suojaustapoja (henkilöstöturvallisuus): Työterveyspalvelut Turvallinen työympäristö Matkustusohjeet Vakuutukset jne. 5

Tietojärjestelmien tietoturvataso ja kriittisyysluokka ohjaavat resurssointia Vahti 2/2010 toimeenpano Palvelujen auditointiohje: Palvelun tärkeysluokitus Tietoturvatasot ICT-varautuminen Muut vaatimukset (esim. Tekninen auditointi hankkeen tietoturvavaatimukset) Elintärkeät ja Erittäin joka toinen vuosi joka toinen vuosi joka toinen vuosi joka toinen vuosi tärkeät Tärkeät joka kolmas vuosi joka kolmas vuosi joka kolmas vuosi joka kolmas vuosi Jonkin verran tärkeät Kilpailutusten yhteydessä Kilpailutusten yhteydessä Kilpailutusten yhteydessä Kilpailutusten yhteydessä Vähäinen merkitys Kilpailutusten yhteydessä Kilpailutusten yhteydessä Kilpailutusten yhteydessä Kilpailutusten yhteydessä 6

Politiikat, vuosikello ja kehityssuunnitelma Politiikan nimi Kuvaus Kohde Tietoturvapolitiikka Jatkuvuuspolitiikka Tietoriskien hallinnan politiikka Vuosikello Kehityssuunnitelma * Palveluille on oma vuosikello Linjaa tietoturvallisuuden hallintaan liittyvät tavoitteet, periaatteet, organisoinnin ja vastuut. Kuvaa jatkuvuudenhallinnan periaatteet, tavoitteet ja vastuut. Politiikka täydentää tietoturvapolitiikkaa. Määrittelee tietoriskien hallinnan viitekehyksen ja tietoriskien hallinnan politiikan. Organisaatiotasoinen tietoturvallisuuden vuosikello * Syksyllä seuraavalle vuodelle tehtävä toimintasuunnitelma, jonka TIO hyväksyy Henkilöstö Johto, palvelujen ja prosessien omistajat, palveluvastaavat Johto, palvelujen ja prosessien omistajat, palveluvastaavat Sisäinen tietoturvallisuus (STT), Tietoturvallisuuden ohjausryhmä (TIO) Sisäinen tietoturvallisuus, palvelut, toiminnot ja yksiköt, joille tehtäviä määritelty 7

Palvelut - Vuosikello Organisaatiotason toimenpiteet Lokajoulukuu Tammimaaliskuu Huhtikesäkuu Heinäsyyskuu Sopimuskatselmointi, katselmointi ja päivitys Vuosikellon päivitys seuraavalle vuodelle Toimenpiteiden seuranta ja raportointi Lokajoulukuu Tammimaaliskuu Palvelun riskien arviointi Palvelun auditointisuunnitelman katselmointi ja päivitys Toipumissuunnitelman katselmointi ja päivitys Toimenpiteiden seuranta ja raportointi Tietoturvallisuuden vastuunjakotaulukko katselmointi ja päivitys Palvelun perustiedot ja kuvaukset, katselmointi ja päivitys Toimenpiteiden seuranta ja raportointi Huhtikesäkuu Heinäsyyskuu Tietoturvapoikkeamien hallinta ja raportointi (Häiriöviestintäsuunnitelman katselmointi ja päivitys) Toimenpiteiden seuranta ja raportointi 8

Palvelut - Toimenpidelista Riskianalyysit Auditoinnit Vuosikello Kehitysideat 9

Prosessit Prosessi Jatkuvien palvelujen tietoturvallisuuden hallinta Hankkeiden tietoturvallisuuden hallinta Tietoturvallisuuden hallintajärjestelmän kehittäminen ja ylläpitäminen Tietoriskien hallinta Tietoturvapalvelujen tuottaminen Pohjautuu vuosikelloon Kuvaus Varmistaa, että hankinnan kohde täyttää tietoturvallisuuteen liittyvät vaatimukset ennen tuotantoon siirtämistä. Varmistaa että Valtorin Tietoturvallisuuden hallintajärjestelmää (politiikat, ohjeet, prosessit) ylläpidetään systemaattisesti Prosessi kattaa tietoriskien arvioinnin prosesseissa sekä palveluissa, jotka osaltaan vastaavat myös toimittaja-tason ja teknologioita koskevasta riskien arvioinnista. Tuottaa tietoturvallisuuteen liittyviä palveluita Valtorin asiakkaille; asiantuntijapalvelut, tietoturvapäällikköpalvelu, sähköiset palvelut 10

Periaatteet Periaatteen nimi Lokienhallinnan periaate Käyttövaltuuksien hallinnan periaate Tietoturvapäivitysten asennusperiaate Varmistusten hallinnan periaate Kuvaus Määrittelee periaatteet joiden mukaan palveluissa käsitellään lokitietoja. Määrittelee vaatimukset, joiden mukaan palveluissa hallinnoidaan tunnuksia, ryhmiä ja käyttövaltuuksia, sekä määrittelee vähimmäisvaatimukset kirjautumiselle ja käytettäville salasanoille. Määrittelee palveluissa noudatettavat tietoturvapäivitysten asennusperiaatteet. Määrittelee periaatteet joiden mukaan tuottamissa, omistamissa ja käyttämissä palveluissa tulee suorittaa varmuuskopiointi sekä palautukset. 11

Hallintajärjestelmän dokumentit ylläpito organisaatiotason vastuulla (keskeisiä esimerkkejä) Politiikat ( 3 kpl) Prosessit (5 kpl) Periaatteet (4 kpl) Organisaatiotason vuosikello Kehityssuunnitelma Suojattavat kohteet ja tärkeysluokitus Luokitellun tiedon käsittelyohjeet Tietoturvallisuuskoulutuksen suunnitelmat 12

Hallintajärjestelmän dokumentit ylläpito palvelun vastuulla Palvelun riskianalyysi Palveluiden ja järjestelmien perustietojen kuvaus Toipumissuunnitelma Häiriöviestintäsuunnitelma Auditointisuunnitelma Vastuunjakotaulukko Toimittajan tietoturvallisuuden toteutuksen seuranta Sopimusten ja turvaselvitysten ajantasaisuuskatselmointi Tietoturvallisuuden vuosikellon päivitys 13

Hallintajärjestelmän kuvaustapoja on monia 14

Pekka Ristimäki Puh. 040 1394828 pekka.ristimaki@valtori.fi 15

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute