Yritysturvallisuuden perusteet

Samankaltaiset tiedostot
Yritysturvallisuuden perusteet

JHS 156 suosituksen päivitys

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Toimitilojen tietoturva

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

Yritysturvallisuuden perusteet

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Sähköisen arkistoinnin reunaehdot

EU:n tietosuoja-asetus (GDPR)

Turvallisuus ja yksityisyys yliopistomaailmassa

Tietosuoja henkilöstön rekrytoinnissa

tiedon ja ihmisten johtamisen, asiakirjahallinnon osaamisen, ja jokaisen työntekijän sitoutumisen avulla.

Yritysturvallisuuden perusteet

Metatiedot ja terveydenhuollon kansallinen arkisto

Sähköinen säilyttäminen

Kempeleen kunta Rakennusvalvonnan paperiarkiston digitoinnin projektisuunnitelma

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Laatua ja tehoa toimintaan

Kymenlaakson Kyläportaali

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Yritysturvallisuuden perusteet

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Lausuntopyyntö julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

Laihia Pöytäkirja 4/ (10) Tarkastuslautakunta Pöytäkirjan nähtävillä pitäminen ja kokouksen päättäminen

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Yritysturvallisuuden perusteet

KAINUUN LIITON ASIAKIRJAHALLINNON JA ARKISTOTOIMEN TOIMINTAOHJE

KESKI-POHJANMAAN KOULUTUSYHTYMÄN TIEDONHALLINNAN TOIMINTAOHJE

Yritysturvallisuuden perusteet

Asukasvalintojen tekeminen kaupungin vuokra-asuntoihin

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Asiakirjahallinnon ja arkistotoimen toimintaohje

Palvelukuvaus v Alkujaan digitaalisen aineiston vastaanoton ja säilyttämisen palvelu

Kansallinen sähköinen potilasarkisto Varmenteiden käyttö

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Tommi Oikarinen / VM

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?

Asiakirjahallinnon opas organisaatiomuutostilanteisiin AL/6640/ /2009. Keskeisiä käsitteitä

Fairdata PAS-palvelu

eresepti- ja KANTA-hankkeissa

PAS-tilanne ja julkaistujen opinnäytteiden pitkäaikaissäilytykseen liittyvä prosessi ja edellytykset

Yritysturvallisuuden perusteet

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

TTA-PASin etenemissuunnitelma ja kustannukset

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

WINHIT POTILASTIETOJEN LUOVUTUS JA TULOSTUS. Opas potilastietojen luovutukseen ja tulostukseen organisaation käyttöön

THL:N NÄKÖKULMIA TUTKIMUSAINEISTOJEN SÄILYTTÄMISEEN

HELSINGIN JA UUDENMAAN PYSYVÄISOHJE 3 / (5) SAIRAANHOITOPIIRI Yhtymähallinto

Asianhallinnan kehittäminen Hallituksen seminaari

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet Tommi Oikarinen

Kehitysvammaisten, vammaisten ja pitkäaikaissairaiden omaishoidon tuen rekisteriseloste

VAPA. Sähköisen säilyttämisen palvelu [ESITYSAINEISTO]

SÄHKE- ja Moreqvaikutukset. dokumenttienhallinnan järjestelmäkehitykseen. Juha Syrjälä, Affecto Finland Oy

SÄHKE2-SERTIFIOINTIKRITEERIT

Pimeä Theseus & PAS kyselyn tuloksia

Sosiaalihuollon asiakastiedon arkisto Sosiaalihuollon metatietomalli Metatietoesimerkit

Yritysturvallisuuden perusteet

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

Terveydenhuollon arkistostandardit ISO TS ja ISO TR 21548

Riihimäen seudun terveyskeskuksen kuntayhtymä Penttilänkatu 5, Riihimäki Puh Tietoturvapolitiikka

Yritysturvallisuuden perusteet

IT-palvelut ja tietoturvallisuus Tampereen yliopistossa

LifeData Luonnonvaratiedon avoimuus uusien ratkaisujen lähtökohtana. Sanna Marttinen (LYNET) Riitta Teiniranta (SYKE) Eero Mikkola (Luke)

Lokipolitiikka (v 1.0/2015)

Lausuntopyyntö julkisen hallinnon tiedonhallinnan sääntelyn kehittämistä selvittäneen työryhmän raportista

Hallinnon tietoympäristön muuttuminen ja sähköinen säilyttäminen

Tietoturvatekniikka Ursula Holmström

Sopimusoikeus ja tietotekniikka. IT-sopimukset. Sopimuksesta yleistä. Mitä ovat IT-sopimukset. Suomessa yleiset sopimusehdot: IT2000

Rekisteriseloste. Potilasrekisterin rekisteriseloste

Pilvipalveluiden arvioinnin haasteet

JUHTA - Julkisen hallinnon tietohallinnon neuvottelukunta

Sosiaalihuollon asiakastiedon arkisto Sosiaalihuollon metatietomalli Metatietoesimerkit

Pohjois-Pohjanmaan sairaanhoitopiiri. Arkistonmuodostus. Helena Eronen arkistopäällikkö PPSHP/OYS/Asiakirjahallinto

Sähköi sen pal l tietototurvatason arviointi

Verkkolaskujen arkistointi

Asiakirjahallinnan peruskurssi

Yritysturvallisuuden perusteet

Yhteentoimivuusalusta: Miten saadaan ihmiset ja koneet ymmärtämään toisiaan paremmin?

kh Hämeenkyrön kunnan asiakirjahallinnon ja arkistotoimen toimintaohje

Tietoturva P 5 op

Uusi varhaiskasvatuslaki mikä muuttuu tietosuojan ja salassapidon osalta?

SÄHKÖISET JA LAINSÄÄDÄNTÖ

Tietoturvallisuus hallinnon sähköisissä palveluissa

Kyberturvallisuuden tilannekuva energia-alalla

Asiakirjahallinnon ja arkistotoimen toimintaohje

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Sähköpostin arkistointi

Kela Kanta-palvelut Terveydenhuollon todistusten välitys Toiminnalliset prosessit

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

VALTIONHALLINNON TIETOAINEISTOJEN KÄSITTELYN TIETOTURVALLISUUSOHJE

REKISTERINPITÄJÄN INFORMAATIO KUNTOUTUJILLE TOIMINTATERAPIA A KAARRETKOSKI OY

Mitä tulisi huomioida henkilötietoja luovutettaessa? Maarit Huotari VM JUHTA/VAHTI-työpaja

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Rekisteriseloste. Kotona asumisen tuki tulosyksikön asiakasrekisterin rekisteriseloste

SÄHKE2-SERTIFIOINTIKRITEERIT

Transkriptio:

Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi 8. Luento Tietoturvallisuus Tiedon ominaisuudet Tietoaineiston käsittely 1

Tiedon merkitys CIA-malli Luottamuksellisuus Eheys Käytettävyys Periaatteessa toisistaan riippumattomia ominaisuuksia Muita joukkoon liitettyjä asioita Kiistämättömyys Autentikointi Salaisen tiedon arvo Tiedon arvo riippuu vain siihen sitoutuneesta työstä Tehty työ on investointi Jos saman tiedon saa tekemättä työtä, saa kilpailuedun Esimerkiksi aineistohaku lehdistöstä Tiedon arvo riippuu siitä, kuinka moni asian tietää Esimerkiksi oikea lottorivi 2

Salaisen tiedon määrä Tiedon säilyttäminen salaisena on vaikeaa Kannattaa erottaa toisistaan varsinainen salainen tieto ja muu asiaan liittyvä tieto Esimerkiksi salakirjoitusmenetelmän pitäminen salassa on vaikeaa, on helpompaa suojata vain salausavain Varmuus oikeellisuudesta Tieto jonkin tiedon luotettavuudesta on olennaisin metatieto Jos voidaan luottaa tiedon oikeellisuuteen, ei tarvitse varautua vaihtoehtoihin 3

Tietojen yhdistely Tietojen luokittelu on vaikeaa, koska on vaikeaa määritellä se yksikkö, jota luokitellaan Jos kaksi julkista tietoa yhdistettynä on salainen, pitäisikö molemmat luokitella myös erikseen salaiseksi? Tiedon kertyminen Joillakin henkilöillä pitää olla pääsy mihin tahansa tietoon, mutta ei kaikkeen tietoon Esimerkiksi lääkäri Kuinka suuri määrä tietoa yhdessä nostaa kokonaisuuden luokitusta 4

Metatiedon käsittely Tietoon liittyy paljon oheistietoa Esimerkiksi tiedon luokittelu salaiseksi kertoo myös jotain tiedon sisällöstä Metatietoa tarvitaan tietojen hallinnassa Tekijä, otsikko, päivämäärä, jakelu, luokittelu Metatiedon pitäminen salassa vaikeaa Tietorakenteet paljastavat myös osan tiedon sisällöstä Salaisen tiedon omistajan rooli Salassapidon mukaan luokitellulla tiedolla pitää olla omistaja Omistaja vastaa tiedon luokittelusta sen mukaan, mikä on tiedon arvo Omistaja päättää, kenelle tietoa luovutetaan Omistaja päättää tiedon käsittelyn ehdot Käsittely yhdenmukaista kaikkialla 5

Eheys ja tiedon arvo Eheydellä tarkoitetaan tässä sitä, että tieto ei ole muuttunut hallitsemattomasti Tieto oli alussa oikein, se ei ole muuttunut vääräksi, tieto on edelleen oikein Tieto jonkin tiedon luotettavuudesta on olennaisin metatieto Tiedon arvo perustuu siihen, että sen oikeellisuuteen voidaan luottaa Eheys ja tiedon omistaja Vaatimuksen eheydelle asettavat sekä tiedon omistaja että käyttäjä Samalle tiedolle voi olla erilaisia eheysvaatimuksia eri järjestelmissä Eheysvaatimus on järjestelmäkohtainen (luku) Tiedon omistajan on täytettävä asetetut vaatimukset 6

Eheys ja luottamuksellisuus Tiedon omistajan kannalta eheys ja luottamuksellisuus ovat käytännössä kaksi vastakkaista vaatimusta Luottamuksellisuudessa omistaja vaatii ja käyttäjä täyttää vaatimukset Eheydessä käyttäjä vaatii ja omistaja täyttää vaatimukset Luottamuksellisuudessa rajoitetaan lukemista, eheydessä rajoitetaan kirjoittamista Korkea salassapito voi heikentää eheyttä, koska tiedon integriteetti saattaa heiketä, jos osa tiedoista ei ole käytettävissä Käytettävyys ja tiedon arvo Tieto voi olla raaka-aine Uutiset Tietoa tarvitaan tuotannossa Tehdasrobotin ohjelma Työntekijän ammattitaito Tietokanta Tieto voi olla myytävä tuote Pörssianalyysi Jos raaka-aine tai tuotantoväline ei ole käytettävissä, tuotanto pysähtyy 7

Käytettävyysvaatimukset Käytettävyysvaatimukset vaihtelevat järjestelmän luonteen mukaan Järjestelmän ohjaamiseen tarvittava tieto on kriittistä ohjattavassa järjestelmässä Sama tieto on vähemmän kriittistä järjestelmän simulaattorissa Käytettävyys ja tiedon omistaja Käytettävyysvaatimukset tulevat järjestelmien omistajilta Tiedon omistajan on täytettävä esitetyt vaatimukset tai järjestelmä ei voi käyttää sen omistajan tietoja 8

Luottamuksellisuus eheyskäytettävyys Eri luokittelukategoriat ovat periaatteessa toisistaan riippumattomia Käytännössä yhden ominaisuuden korostaminen johtaa muiden heikkenemiseen Korkea käytettävyys estää salassapitoa ja oikeellisuuden tarkistusta Korkea salassapito estää käytön ja vaikeuttaa oikeellisuuden tarkistusta Korkea eheys vaikeuttaa salassapitoa ja hidastaa käyttöä Tietoaineiston käsittely Merkitseminen Luovuttaminen Lähettäminen Käsittely Säilytys Hävittäminen 9

Merkitseminen Luokittelun yhteydessä materiaali on merkittävä tiettyyn luokkaan kuuluvaksi Merkinnän pitää olla kaikkien käsittelijöiden tunnistettavissa Merkinnän pitää olla aina materiaalin yhteydessä Merkinnän pitää sisältää Luokka Omistaja Jakelu Hyväksyminen Useissa organsaatioissa on erikseen asian valmistelija ja päättäjä Luokitteluun ja tiedon omistamiseen liittyvän työnjaon pitää olla selvä valmistelijan ja päättäjän välillä Esimerkiksi valmistelija omistaa tiedon ja luokittelee sen allekirjoitukseen asti, jolloin omistajuus siirtyy päättäjälle ja tämä voi halutessaan tarkistaa luokan 10

Luovuttaminen Eri luokissa saattaa olla rajoituksia sille miten tietoa luovutetaan henkilölle Kenelle luovutetaan Henkilö, organisaatio Missä muodossa tietoa luovutetaan Suullisesti, kirjallisesti, kokouksessa,... Miten siirtyminen kirjataan Kuitataan kirjallisesti, kirjataan pöytäkirjaan,... Miten tieto luovutetaan takaisin? Lähettäminen Suojaaminen Salaaminen, sinetit,... Kirjaaminen Miten dokumentoidaan postin kulku Vastaanottaja Kuka avaa viestin/kuoren Luovuttaminen Kuittaukset 11

Käsittely Kuka saa käsitellä Kenen läsnäollessa Millä laitteilla Missä tilassa Kopionti Kuka saa kopioida luokiteltua materiaalia Miten kopiot merkitään Kenelle kopioinnista ilmoitetaan 12

Luokituksen muuttaminen Miten päätetään luokituksen muuttumisesta Millä tavalla muutos merkitään Millä tavalla muutos ilmoitetaan jakelulle Miten tarkistetaan/vaihdetaan omistaja Miten muutetaan jakelua Säilytys Turvallisen säilytyksen tarkoituksena on se, että jakeluun kuulumattomat henkilöt eivät pääse käsiksi materiaaliin Eri luokkien tiedoille on määriteltävä säilytystavat Säilytyksen on oltava yhdenmukainen 13

Arkistointi Aktiivisen eliniän jälkeen materiaali arkistoidaan Miten materiaali siirretään arkistoon Kuka päättää, miten ilmoitetaan Kuka omistaa arkistoidun materiaalin Miten varmistaudutaan muuttumattomuudesta arkistovaiheessa Hävittäminen Arkistointivaiheen jälkeen materiaali hävitetään Käytössä olevasta materiaalista hävitetään yksittäisiä kopioita Miten hävittäminen tapahtuu Miten, kuka Miten hävittäminen kirjataan 14

Yhteenveto Tietojen kunnollinen hallinta edellyttää myös metatiedon hallintaa Tietojen luotettavuus Luottamuksellisuus on aito tiedon ominaisuus, eheys ja käytettävyys ovat järjestelmien asettamia vaatimuksia Tiedoille on määriteltävä käsittelysäännöt sen elinkaaren kaikkiin vaiheisiin Säännöt pätevät sekä sähköisiin että paperiasiakirjoihin 15

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute