Tietoturva hallinnossa 13.12.2016 Jukka Kuoksa, Johtava vesitalousasiantuntija
Esityksen sisältö Tietoturvallisuuden organisointi ja vastuut (LAP) Työntekijän vastuu tietoturva-asioissa Mistä tietoa löytyy? Tietoturvatoimenpiteet Lapin ELY 2016 Kehittämiskohteet tietoturvan saralla Lapin ELYssä 2
Tietoturvallisuuden organisointi ja vastuut VALTORI Päätelaitteet, verkkopalvelut, tietoliikennepalvelut, viestintäpalvelut KEHA ELY-keskusten ja TE-toimistojen tietoturvatyön ohjaus ja koordinointi Tietoturvavastaavien verkosto, kokoukset yhteiset dokumentit (tietoturva,- sähköposti, riskienhallintapolitiikat, tekniset linjaukset ja ohjaus) tietoturvakoulutus sähköisenä ja videokoulutuksena 3
Tietoturvallisuuden organisointi ja vastuut ELY - Ylijohtaja/TE-toimiston johtaja - vastaa tietoturvallisuuden järjestämisestä - (Yksikön)päällikkö/esimies - vastaa yksikössään tietoturvan valvonnasta, toimeenpanee tietoturvallisuutta - Työntekijä - tuntee tietoturvallisuudesta annetut ohjeet ja noudattaa niitä - raportoi ongelmista ja uhista - TAIMI: https://taimi.sharepoint.com/henkiloston-kasikirjat/tietoturva 4
Tietoturvallisuuden organisointi ja vastuut (LAP) LASIVATI-tiimi Laadun, sisäisen valvonnan ja tietoturvan yhteinen tiimi (yhdistetty resurssit / aikaisemmat ryöryhmät) Koordinoi tehtävien hoitoa Vastaa tehtävien yhteen sovittamisesta ELYkeskuksessa ja TE-toimistossa ja tarvittavasta osaamisen kehittämisestä sekä viestinnästä Valmistelee toimenpiteet johtoryhmän käsittelyyn Toimii vastuuhenkilöiden työn tukena Hyödyntää talon asiantuntijoita tehtävien hoidossa 5
Tietoturvallisuuden organisointi ja vastuut (LAP) LASIVATI-tiimin kokoonpano Tuija Ohtonen, pj, laadun ja sisäisen valvonnan vastuuhenkilö ELY-keskuksessa Jukka Kuoksa, tietoturvan vastuuhenkilö ELYkeskuksessa Tero Hyttinen, tietoturvan ja sisäisen valvonnan vastuuhenkilö TE-toimistossa Tiina Keränen, laadun vastuuhenkilö TE-toimistossa Tietoturvan asiantuntijat: Riku Elo, Marianne Manninen Muita asiantuntijoita mukaan tarpeen mukaan 6
Mitä työntekijöiden tulisi huomioida? Tietoturva osa arkityötä Ymmärrä tiedon luonne ja sen mukainen käsittely tietoaineiston käsittelykoulutus verkossa Tiedon fyysinen suojaus: tilojen lukitus, työasema lukitus, puhtaan pöydän periaate, suojakoodi puhelimeen, virka/vrkkortin säilytys Turvallinen sähköpostin käsittely Sosiaalinen media ja pilvipalvelut TAIMIssa luentoja Muistitikut Virtuaalikokoukset Tietojen tallennus ja tulostus Tietoturvahavainnoista ilmoittaminen esimiehelle ja tietoturvavastaavalle 7
TAIMIsta lisätietoa (Henkilöstön käsikirjat) https://taimi.sharepoint.com/henkiloston-kasikirjat/tietoturva Käyttäjän tietoturvaohje, ohje siirrettävien tietovälineiden käsittelyyn, tietoturvapolitiikka tietoturvapoikkeamalomake, pilvipalvelupolitiikka, tietoaineiston luokitteluohje jne. https://taimi.sharepoint.com/henkiloston-kasikirjat/tietohallinto Työasema, sähköposti, puhelin, järjestelmät, sovellukset jne. Videot / luennot: ELY-keskuksen käytännön tietoturva: Pauli Paatsola/KEHA ELY-keskuksen hallinnollinen tietoturva: Päivö Lappalainen/KEHA Kyberrikostorjunnan haasteet - Jyrki Kaipainen/KRP Muita hyviä mm.: Mikä ihmeen pilvipalvelu? Minä ja sosiaalinen media 8
9
ORGANISAATIO RAPORTTI Pvm SALASSA PIDETTÄVÄ Suojaustaso IV JulkL (621/1999) 24.1 :n 7k Lain ( / ) :n k TIETOTURVAPOIKKEAMA/TIETOTURVATAPAHTUMA Tällä lomakkeella ilmoitetaan viraston omaan tai sen yhteistyökumppanien väliseen työhön kohdistuneesta tietoturvaan tai tietosuojaan kohdistuneesta rikkomuksesta tai tietoturva/tietosuojauhkasta. Ilmoitusvelvollisuus koskee kaikkia organisaatiossa (ELY- keskus ja TE- toimisto) työskenteleviä. Ilmoittaja Yhteyshenkilö yhteistyökumppanin puolella Tapahtuma-ajankohta Tapahtumapaikka/-kohde Status Valitse tapahtuman status. Poikkeamatyyppi: palvelunesto haittaohjelma järjestelmän luvaton käyttö asiaton käyttö olosuhdehäiriö fyysinen tietoturvahäiriö tiedon korruptoituminen/tuhoutuminen tiedon varastaminen yhdistelmäpoikkeama Tyyppi Valitse poikkeamatyypi. Tapahtumakuvaus (ajankohdat, havainnot, toimenpiteet yms.) Vakavuus Valitse vakavuusaste. Tapahtumasta yhteistyökumppanille aiheutuneet vahingot ja/tai mahdollisesti seuraavat vahingot Välittömästi suoritetut tai suoritettavat toimenpiteet sekä muut huomiot Keneen oltu yhteydessä yhteistyökumppanin puolella ja yhteydenoton ajankohta Muuta Lisätietojen antaja ja yhteystiedot TAPAHTUMA TAI POIKKEAMARAPORTTI TOIMITETAAN ESIMIEHELLE JA TIEDOKSI ORGANISAATION (ELY, TE, KEHA) TIETOTURVAVASTAAVILLE. YHTEISTYÖKUMPPANIN TOIMINTAAN VAIKUTTAVAT RAPORTIT ESIMIES TOIMITTAA YHTEISTYÖKUMPPANIN YHTEYSHENKILÖLLE. 10
Käyttöön tietoturva-asioille työtila 11
Tietoturvatoimenpiteitä 2016 Toimenpidesuunnitelma 2016 mm.: Laaditaan Maville maksajaviraston tietoturvallisuuden hallintamallin (ISO/IEC 27001:2013) soveltamistapalausunto 28.2.2016 mennessä Laaditaan päivitetty tietoturvapolitiikka Tietoturvakäsikirjan päivittäminen Katselmukset ja arvioinnit säännönmukaisiksi (mm. johdon katselmukset 2 krt/a) Henkilöstön tietoturvavastuiden tiedostaminen Yms. 12
Maksajaviraston tietoturvallisuuden hallintamallin soveltamistapalausunto Työpaja KEHA/Mavi 18.1.2016 tavoitteet: Tietoisuuden varmistaminen maksajaviraston keskeisistä tietoturvavaatimuksista Tutustuminen ISO/IEC 27001:2013 -standardiin kokonaisuutena ISO/IEC 27001:2013 -soveltamislausuntojen laatimisen edistäminen Lapin ELY:n versio 1.0 hyväksytty 29.2.2016 Käyty läpi vastuualueella yksikkökokouksissa Osallistuttiin Kainuun ELY-keskuksen auditointiin Marraskuun lopussa käyty läpi ja tehty tarvittavat päivitykset 13
Kehitettävää tietoturvan saralla Henkilöstön tietoturvatietoisuuden ja osaamisen tasoa on mitattu 2010, 2013 ja 2015 Henkilöstön kokema tietoturvallisuus parantunut hieman (mm. salasanojen säilytys ja käyttö, luottamuksellisen aineiston käsittely, haitallisten liitetiedostojen varominen) Tietoturvavastuun tiedostaminen on heikentynyt eikä tietoturvaohjeita ei löydetty yhtä hyvin kuin aiemmin Toimenpiteitä: Verkko koulutusaineistoa tehty lisää, uusi vuodenvaihteessa Taimi työtilan käyttöönotto Lapin ELYssä LASIVATI-tiimin info vuoden 2017 alussa 14