CERT-FI-TR-CIP (1/15)



Samankaltaiset tiedostot
Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Kansallinen CIP-seminaari. Jani Arnell Vanhempi tietoturva-asiantuntija CERT-FI

Tietoturvapalvelut huoltovarmuuskriittisille toimijoille

Luottamusta lisäämässä

Ajankohtaista huoltovarmuudesta - tavoitteet - organisaatio - toiminta

Luottamusta lisäämässä. Toimintasuunnitelma

Abuse-seminaari


KRIITTISEN TELEINFRASTRUKTUURIN TURVAAMINEN

HUOVI-PORTAALIN MAHDOLLISUUDET KUNNILLE

Verkostoautomaatiojärjestelmien tietoturva

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

Yhteiskunnan elintärkeiden toimintojen turvaaminen

Huoltovarmuusorganisaation työjärjestys

Ehdotusten vaikutukset EU:n kilpailuasemaan luotettavien digitaalisten sisämarkkinoiden kehityksessä

RAUTATIELIIKENNE OSANA LOGISTISTA JÄRJESTELMÄÄ HUOLTOVARMUUDEN TURVAAMISESSA

Tietoturvapolitiikka

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

CERT-CIP seminaari

HUOVI verkoston sähköinen työympäristö. Sähköinen työpöytä -seminaari Tutkimuspäällikkö Hannu Sivonen

Varmaa ja vaivatonta viestintää

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

HUOLTOVARMUUSORGANISAATIO JA TULEVAISUUDEN HAASTEET

YHTEISKUNNAN TURVALLISUUDEN STANDARDOINTI. Pertti Woitsch

Elinkeinoelämä ja huoltovarmuus

Viestintäviraston tilannekuvajärjestelmät. Timo Lehtimäki Tulosalueen johtaja Internet ja tietoturva/viestintävirasto

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

VALVO JA VARAUDU PAHIMPAAN

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Tietojenkäsittelyn varautumissuunnitelma TietoVasu

Verkostoautomaatiojärjestelmien tietoturva

Varautumisen ohjeistus. Veli-Pekka Kuparinen valmiuspäällikkö

Tietoyhteiskuntasektorin toiminta - kyetäänkö kuljetuslogistiikan ohjausjärjestelmien toimivuus turvaamaan. Veli-Pekka Kuparinen valmiuspäällikkö

Liiketoimintaa ICT-osaamisesta vahvuuksilla eteenpäin. Jussi Paakkari, teknologiajohtaja, VTT, R&D, ICT

ELINTARVIKEHUOLTOSEKTORIN POOLIEN TEHTÄVÄT SEKÄ POOLIEN HARJOITUKSET

Vesihuolto päivät #vesihuolto2018

Huoltovarmuusorganisaation työkalut yritysten jatkuvuussuunnittelun tukena HUOVI-portaali

KUNTALIITTO HUOVI-PORTAALI: TYÖKALUJA JATKUVUUDENHALLINNAN PARANTAMISEKSI. Johtaja Tuija KyröläTuija Kyrölä, KTL

Ubicom tulosseminaari

SUOMEN VALMIUDET KRIISITILANTEISSA, TUOTANNOSSA, ENERGIA- JA ELINTARVIKEHUOLLOSSA

Mobiililaitteiden tietoturva

Teollinen Internet & Digitalisaatio 2015

Tietoturvakonsulttina työskentely KPMG:llä

- Big Data Forum Finland Jari Salo, TIEKE

Tietoturvapäivä

CERT-FIajankohtaiskatsaus

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Ohje tietoturvaloukkaustilanteisiin varautumisesta

ELINTARVIKEHUOLTOSEKTORIN POOLIT Valmiuspäällikkö Aili Kähkönen. Elintarvikehuoltosektorin poolit

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Julkisen ja yksityisen sektorin yhteistyö kyberturvallisuudessa. Johtaja Kirsi Karlamaa

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Valmistautunut on varautunut. Arkipäivän (liike)toiminnan häiriöiden hallinnan menettelyt tukevat toimintaa mahdollisissa poikkeusoloissa

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Abuse-seminaari Ilmoitusvelvollisuus

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

TEEMME KYBERTURVASTA TOTTA

Yhteiskunnan varautuminen

Huoltovarmuusorganisaatio sekä sen toimijat ja suunnitteluvälineet. Syyskuussa 2008/Gilbert Appelgren

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Tietojärjestelmien varautuminen

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Fi-verkkotunnus yksilöllinen ja suomalainen

VIESTINTÄVERKKOJEN JA VIESTINTÄPALVELUIDEN VARMISTAMINEN; OHJEITA KÄYTTÄJILLE. TIVA-seminaari

Viestintäviraston tilannekuvahanke TIKU2012+ Pertti Hölttä

Pääesikunta, logistiikkaosasto

TEEMME KYBERTURVASTA TOTTA

Tietoverkot ja käyttäjät hallitseeko tietoturvaa enää kukaan?

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

TIETO2007-OPIT. Veli-Pekka Kuparinen valmiuspäällikkö

Yhteiskunnan turvallisuusstrategian perusteet

TEEMME KYBERTURVASTA TOTTA

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Sähkö- ja teleyritysten yhteistoiminnasta. Veli-Pekka Kuparinen, valmiuspäällikkö

Vaivattomasti parasta tietoturvaa

Logistiikan toimintavarmuus osana huoltovarmuutta

Online and mobile communications for Crisis Response and Search and Rescue

5581/16 ADD 1 team/sl/si 1 DGE 2B

Miten Väestörekisterikeskus valmistautuu lainsäädäntöuudistukseen?

IT-standardisoinnin henkilöstö keväällä

Tietoturvallisuuden ja tietoturvaammattilaisen

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

- ai miten niin? Web:

Avoin tieto ja World Wide Web tietoyhteiskunnan palveluksessa. Open Data and the World Wide Web in Service for the Informaton Society

Kasvua ja kilpailukykyä standardeilla. Riskit hallintaan SFS-ISO 31000

NÄKÖKULMIA TULEVAISUUDEN STANDARDEIHIN FORUM

OIA on yhteistyösopimus, jonka sisältönä ovat

Valmistautunut on varautunut. Arkipäivän (liike)toiminnan häiriöiden hallinnan menettelyt tukevat toimintaa mahdollisissa poikkeusoloissa

Pelastustoimen uudistaminen jatkuu - maakuntauudistus etenee. Varautuminen

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Data liiketoiminnan moottorina tietosuoja kilpailukyvyn vauhdittajana VTT:n media-aamiainen

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Viestintävirasto JTS LiV

Yleiset kommentit tietoturvastrategialuonnokseen (1/3)

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Sulautettu tietotekniikka Ubiquitous Real World Real Time for First Lives

Näkökulmia hallitusohjelmaan, digitalisaatioon ja toimintamme kehittämiseen - Mitä tulisi tehdä ja mitä teemme yhdessä, mikä on TIETOKEKOn ja

Transkriptio:

CERT-FI-CIP-työryhmä Tuotos 1. Lokakuu 2007

Huoltovarmuuskriittisen toimijan tietolähteet (1/15)

1. JOHDANTO Viestintäviraston CERT-FI-työryhmän alatyöryhmäksi perustettu CERT-FI-CIPtyöryhmä sai tehtäväkseen koota kansallista huoltovarmuuskriittistä toimijakenttää palvelevia tuotoksia. CERT-FI-työryhmässä esiteltyjen aiheiden joukosta valittiin CERT-FI-CIP-alatyöryhmän ensimmäiseksi tuotokseksi "Huoltovarmuuskriittisen toimijan tietolähteet", jonka tarkoituksena on listata hyväksi todettuja tietolähteitä mm. yhteistyöryhmien ja foorumeiden ja internet-sivustojen muodossa. Tietolähteiden listaus ei ole täydellinen - se pyrkii kuvaamaan niitä tietolähteitä, jotka työryhmämme totesi hyväksi ja hyödylliseksi. Huoltovarmuuskriittistä infrastruktuuria turvatessamme eteemme avautuu hyvin laaja, heterogeeninen sekä usein moniulotteinen ympäristö, jonka turvaamisessa on vaikea löytää yhtä tai kahta selkeää toimintatapaa. Usein näitä elintärkeitä ympäristöjä turvatessamme meidän pitääkin turvautua useisiin eri tietolähteisiin eri ympäristöjen ominaispiirteiden sekä niiden elinkaaren perusteella. Tässä dokumentissa esitellyt tietolähteet liittyvät pääsääntöisesti huoltovarmuuskriittisten infrastruktuurien tieto- ja viestintäjärjestelmien turvaamiseen. Osa tietolähteistä perustuu kansainvälisesti yhteisesti sovittuihin toimintamalleihin, joita voidaan käyttää mm. uuden huoltovarmuuskriittisen toimintaympäristön määrittelyssä tai jo olemassa olevien ympäristön turvatoimien yhtenäistämisessä. Osa tietolähteistä liittyy taas uhkien ja mahdollisien riskien tunnistamiseen ja havaitsemiseen. Huoltovarmuuskriittisen toimintaympäristöt ovat kokonaisuudessaan useiden uusienkin haasteiden edessä. Osa järjestelmistä on sulautettuja ja suljettuja kokonaisuuksia, osa legacy-tyyppisiä järjestelmiä sekä osa taas avoimen lähdekoodin tai muuten muissakin tietojärjestelmäympäristöissä käytettyjen tietojärjestelmien tapaisia. Yhtä kaikki - yhteneväisyyksiäkin löytyy. Yhtenä esimerkkinä vahva suuntaus verkottuneeseen toimintaympäristöön, joissa osa kriittistä infrastruktuuria on rakennettu avoimien verkkojen, kuten internet-verkon, toiminnan varaan. Miten kykenemme turvaamaan huoltovarmuuskriittisten ympäristöjemme toiminnan jatkuvuuden kaikissa yhteiskunnallisissa tilanteissa, joissa kärjistettynä voidaan todeta tilanteen noudattavan osittain kaavaa: huoltovarmuuskriittinen ympäristö on tekniikaltaan 15-20 vuotta nykyaikaa jäljessä samaan aikaan, kun samat ympäristöt ovat alttiita 20 vuotta niitä edellä oleville kehittyneille hyökkäysmenetelmille? Työryhmämme pyrki löytämään tiedonlähteitä edellä olevien tilanteiden turvaamisen strategian helpottamiseksi. Toivomme että tunnistamamme tietolähteet auttavat teitä omassa työssänne huoltovarmuuskriittisen infrastruktuurin parissa. CERT-FI-CIP-alatyöryhmän puolesta, Jani Arnell Työryhmän puheenjohtaja CERT-FI-CIP-alatyöryhmä Jani Arnell Petri Ala-Annala Kimmo Bergius Antti Järvinen Jyrki Kiialainen Arttu Lehmuskallio Jorma Mellin Kari Oksanen Pekka Ristimäki Viestintävirasto / CERT-FI-yksikkö Helsingin Energia Microsoft Oyj Kesko Oyj Elisa Oyj TeliaSonera Finland Oyj Ficix Ry Nordea Neste Oil (2/15)

2. SISÄLLYS 1. JOHDANTO 2 2. SISÄLLYS 3 3. TIETOLÄHTEET 4 3.1 Foorumit ja yhteistyöryhmät 4 3.1.1 Kansalliset 4 3.1.2 Kansainväliset 8 3.2 WWW-sivustot 9 3.2.1 Kansalliset 9 3.2.2 Kansainväliset 10 3.3. Tutkimus- ja analysointitoiminta 13 3.3.1 Kansalliset 13 3.3.2 Kansainväliset 13 3.4. Konferenssit ja seminaarit 15 3.4.1 Kansalliset 15 3.4.2 Kansainväliset 15 (3/15)

3. TIETOLÄHTEET 3.1 Foorumit ja yhteistyöryhmät 3.1.1 Kansalliset CERT-FI-TR (työryhmä) on Viestintävirastossa vuonna 2007 käynnistetty yhteistyöfoorumi, joka koostuu noin 40:stä kansallisen huoltovarmuuskriittisen toimijan edustuksesta. Työryhmän tehtävänä on mm. vaihtaa tietoa monipuolisesti kriittisen infrastruktuurin suojaamiseen liittyvistä seikoista sekä toimia Viestintäviraston CERT-FIyksikön toimintaa omalta osaltaan kehittävänä tahona antaen palautetta CERT-FIyksikön toiminnasta. Työryhmä on luonteeltaan pysyvä ja jäsenyydeltään suljettu. Yhteystiedot: Viestintäviraston CERT-FI-työryhmä Työryhmän puheenjohtaja: Erka Koivunen Yksikön päällikkö Viestintäviraston / CERT-FI etunimi.sukunimi@ficora.fi Työryhmän sihteeri: Johanna Kinnari Vanhempi tietoturva-asiantuntija Viestintävirasto / CERT-FI etunimi.sukunimi@ficora.fi CERT-FI-TR-ABUSE on CERT-FI-työryhmän alaisuudessa toimiva noin 15:sta teleyritysten ja internet-palvelutarjoajien edustuksesta koostuva yhteistyöfoorumi, joka keskittyy tietoverkko- ja ohjelmistoturvallisuuteen sekä tietoturvaloukkausten ratkaisuun liittyvien aihepiirien monipuoliseen käsittelyyn. CERT-FI-TR-ABUSE-työryhmä on luonteeltaan määräaikainen ja jäsenyydeltään suljettu. Yhteystiedot: CERT-FI-ABUSE-työryhmä Työryhmän puheenjohtaja: Johanna Kinnari Vanhempi tietoturva-asiantuntija Viestintävirasto / CERT-FI etunimi.sukunimi@ficora.fi CERT-FI-TR-CIP on CERT-FI-työryhmän alaisuudessa toimiva ensisijaisesti Viestintäviraston sekä Huoltovarmuuskeskuksen välisen sopimuksen mukaisten asiakasryhmien palveluun keskittynyt yhteistyöfoorumi, joka koostuu noin 10:stä huoltovarmuuskriittisen toimijan edustuksesta. Työryhmän tehtävänä on tuottaa kansallista huoltovarmuuskriittistä toimikenttää hyödyntäviä tuotoksia CERT-FI-työryhmän esitysten perusteella. CERT-FI-CIP-työryhmä on luonteeltaan määräaikainen ja jäsenyydeltään suljettu. (4/15)

Yhteystiedot: Viestintäviraston CERT-FI-CIP-työryhmä Työryhmän puheenjohtaja: Jani Arnell Vanhempi tietoturva-asiantuntija Viestintävirasto / CERT-FI etunimi.sukunimi@ficora.fi Puolustustaloudellisen suunnittelukunnan poolit (PTS). PTS on tehnyt elinkeinoelämän kanssa sopimuksia, joilla on perustettu kutakin toimialaa edustava pooli. Poolin kautta alan yrityksissä oleva asiantuntemus saadaan mukaan huoltovarmuuden suunnitteluun. Poolien toimintaan osallistuvat yritykset hyötyvät PTS-yhteistyöstä parantuneena valmiutena erilaisten vakavien häiriöiden ja poikkeusolojen varalta. Poolit järjestävät yrityksille koulutus- ja harjoitustilaisuuksia. Poolin hallinnosta huolehtii sopimuksen allekirjoittanut toimialajärjestö, ja PTS maksaa sille korvauksen hallinnollisista kuluista. Poolia johtaa poolitoimikunta, johon PTS kutsuu asiantuntijoita yrityksistä, järjestöistä ja hallinnosta. PTS:n keskusjaosto ja sektorit antavat pooleille suunnittelutehtäviä. Pooli voi nimetä alatyöryhmiä harkintansa mukaan. Puolustustaloudellisessa suunnittelukunnassa toimii 24 poolia. Näiden kokoonpanoista ja toiminnasta sekä yhteystiedoista on lisätietoa jokaisen poolin omalla sivulla. Aluepooli http://www.huoltovarmuus.fi/toimialat/tietoyhteiskunta/aluepooli/index.html Alkutuotantopooli http://www.huoltovarmuus.fi/toimialat/elintarvikehuolto/alkutuotantopooli/index.html Graafinen pooli http://www.huoltovarmuus.fi/toimialat/tietoyhteiskunta/graafinen-pooli/index.html Elektroniikkapooli http://www.huoltovarmuus.fi/toimialat/tietoyhteiskunta/elektroniikkapooli/index.html Elintarviketeollisuuspooli http://www.huoltovarmuus.fi/toimialat/elintarvikehuolto/elintarviketeollisuuspooli/ind ex.html Ilmakuljetuspooli http://www.huoltovarmuus.fi/toimialat/kuljetuslogistiikka/ilmakuljetuspooli/index.htm l Joukkoviestintäpooli http://www.huoltovarmuus.fi/toimialat/tietoyhteiskunta/joukkoviestintapooli/index.ht ml (5/15)

Kauppa- ja jakelupooli Kemianpooli Maankuljetuspooli http://www.huoltovarmuus.fi/toimialat/kuljetuslogistiikka/maakuljetuspooli/index.htm l Metallipooli Metsäpooli Muovi- ja kumipooli Rahoitushuoltopooli http://www.huoltovarmuus.fi/toimialat/rahoitushuolto/rahoitushuoltopooli/index.html Rakennuspooli Terveydenhuoltopooli Tietoverkkopooli http://www.huoltovarmuus.fi/toimialat/tietoyhteiskunta/tietoverkkopooli/index.html Tietotekniikkapooli http://www.huoltovarmuus.fi/toimialat/tietoyhteiskunta/tietotekniikkapooli/index.html Vesihuoltopooli Vaatetuspooli http://www.huoltovarmuus.fi/toimialat/elintarvikehuolto/kauppa-jajakelupooli/index.html http://www.huoltovarmuus.fi/toimialat/kriittinen-perusteollisuus/kemianpooli/index.html http://www.huoltovarmuus.fi/toimialat/kriittinenperusteollisuus/metallipooli/index.html http://www.huoltovarmuus.fi/toimialat/kriittinenperusteollisuus/metsapooli/index.html http://www.huoltovarmuus.fi/toimialat/kriittinen-perusteollisuus/muovi-jakumipooli/index.html http://www.huoltovarmuus.fi/toimialat/kriittinenperusteollisuus/rakennuspooli/index.html http://www.huoltovarmuus.fi/toimialat/terveydenhuolto/terveydenhuollonpooli/index.html http://www.huoltovarmuus.fi/toimialat/terveydenhuolto/ymparistoterveydenhuollonpooli/index.html http://www.huoltovarmuus.fi/toimialat/kriittinenperusteollisuus/vaatetuspooli/index.html (6/15)

Vakuutusalanpooli http://www.huoltovarmuus.fi/toimialat/rahoitushuolto/vakuutusalan-pooli/index.html Vesikuljetuspooli http://www.huoltovarmuus.fi/toimialat/kuljetuslogistiikka/vesikuljetuspooli/index.html Voimatalouspooli http://www.huoltovarmuus.fi/toimialat/energiahuolto/voimatalouspooli/index.html Öljytalouspooli http://www.huoltovarmuus.fi/toimialat/energiahuolto/oljypooli/index.html VAHTI (Valtiohallinnon tietoturvallisuuden johtoryhmä) on Valtiovarainministeriön asettama hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen toimielin. VAHTI:ssa ovat edustettuina eri hallinnonalat ja -tasot. VAHTI:n tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta ja jatkuvuutta sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi valtionhallinnon kaikkea toimintaa. Valtionhallinnon tietoturvallisuuden johtoryhmä käsittelee valtionhallinnon tietoturvallisuutta koskevat määräykset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset. Valtionhallinnon lisäksi VAHTI:n toiminnan tuloksia hyödynnetään laajasti myös kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. VAHTI on tunnettu muun muassa tietoturvajulkaisuista ja ohjeista sekä tietoturvahankkeistaan. Lisätietoa VAHTI:n toiminnasta on saatavilla osoitteesta: http://www.vm.fi/vahti Lisätietoa VAHTI:n voimassa olevasta ohjeistuksesta on saatavilla osoitteesta: http://www.vm.fi/vm/fi/13_hallinnon_kehittaminen/09_tietoturvallisuus/02_tietotur vaohjeet_ja_maaraykset/index.jsp Yhteystiedot: VAHTI:n puheenjohtaja: Mikael Kiviniemi Neuvotteleva virkamies Valtiovarainministeriö etunimi.sukunimi@vm.fi VAHTI:n sihteeristön puheenjohtaja Juhani Sillanpää Tietoturvallisuusasiantuntija Valtiovarainministeriö etunimi.sukunimi@vm.fi FICIX ry on Vuonna 1993 toimintansa aloittanut FICIX (Finnish Communication and Internet Exchange - FICIX ry) on Internetin suurin solmupiste Suomessa. Suomen merkittävimmät Internet-palveluntarjoajat ovat jäseninä FICIX:ssä. FICIX ry:n tehtävä on varmistaa korkealaatuisen Internet-yhdysliikenteen toimivuus jatkuvasti kehittyvässä suomalaisessa Internetissä ja kehittää suomalaista Internetiä edelleen. FICIX:n www-sivuilla on mahdollisuus tutustua muun aineiston lisäksi myös solmupisteen liikenne-tilastoihin. http://stats.ficix.fi/ (7/15)

3.1.2 Kansainväliset OECD (Organisation for Economic Co-operation and Development) kokoaa yhteen valtiolliset toimijat keskustelemaan eri aiheista työryhmiin mm. huoltovarmuuskriittisen ympäristön turvaamiseen liittyvistä seikoista. http://www.oecd.org OECD on koonnut vuonna 2002 edelleen valideina nähtäviä tietoturvallisuuteen liittyviä periaatteita, joita pidetään tänä päivänäkin useassa OECD:n jäsenvaltiossa tietoturvallisuustoiminnan strategisina tavoitteina. The Promotion of a Culture of Security for Information Systems and Networks in OECD Countries http://www.oecd.org/dataoecd/16/22/15582260.pdfhttp://www.oecd.org/dataoecd/16/ 27/35884541.pdf Muista OECD:n www-sivuston välityksellä saatavia selontekoja ovat mm: The Development of Policies For Protection Of Critical Information Infrastructures http://www.oecd.org/dataoecd/16/27/35884541.pdf ISF (Information Security Forum) on yksi maailman merkittävimmistä itsenäisistä tietoturvallisuusalan yhteistyöryhmistä, joka kokoaa yli 300 eri valtion sekä yksityissektorin toimijaa yhteen vaihtamaan näkemyksiä parhaista käytännöistä ja strategioista. http://www.securityforum.org ISF keskittyy myös huoltovarmuuskriittisen infrastruktuurin turvaamiseen liittyviin toimiin mm. järjestelmällä työkokouksia aihepiirin tiimoilta sekä kokoamalla raportteja. ISF:n jäsenyys ja sitä kautta pääsy dokumentaation pariin on maksullista. MAAWG (Messaging Anti-abuse Working Group) on yhteistyöryhmittymä, joka keskittyy internet-verkossa tapahtuvan taloudellisen tiedon kalastelun (Phishing) sekä muiden sähköpostiviestien välityksellä tehtävien ei-toivottujen toimien ennaltaehkäisyyn rakentaen luottamusta sähköisiin palveluihin. http://www.maawg.org/ PCSF (Process Control Systems Forum) on yhteistyö-foorumi, joka keskittyy tehostamaan Legacy-pohjaisten järjestelmien ohjelmistokoodin kehitystä, suunnittelua sekä jalkauttamista turvallisuuden näkökulmasta käyttäen apunaan eri kansainvälisiä yhteistyötahoja. https://www.pcsforum.org/ CVE (Common vulnerabilities and Exposures) on ohjelmistotuotteiden haavoittuvuuksia listaava toimija. Haavoittuvuustietokanta koostuu suuresta määrästä CVE-palveluun listatuista haavoittuvuuksista. CVE-palvelu on kansainvälisesti tunnettu ja se on saanut ns. "de facto"-aseman eri legitiimien haavoittuvuustutkijapiirien parissa. http://cve.mitre.org/ (8/15)

3.2 WWW-sivustot 3.2.1 Kansalliset Viestintäviraston CERT-FI-yksikkö on tietoturvaloukkauksien ennaltaehkäisyyn, ratkaisuun sekä tietoturvauhkista tiedottamiseen keskittynyt ryhmittymä. Viestintävirasto on suomen tietoturvaviranomainen ja CERT-FI-yksikkö Viestintävirastossa toimiva kansallinen CERT-toimija. CERT-FI ylläpitää ja julkaisee kansallista tietoturvallisuuden tilannekuvaa eri raportointikanavia hyväksikäyttäen. Lisätietoa CERT-FI-yksiköstä sekä CERT-FI:n julkaisemista varoituksista, haavoittuvuustiedotteista, ohjeista, tietoturva nyt! artikkeleista sekä tietoturvallisuuden tilannekatsauksista on saatavilla osoitteesta: http://www.cert.fi Yhteystiedot: Viestintäviraston CERT-FI-yksikkö cert@ficora.fi Erka Koivunen CERT-FI yksikön päällikkö etunimi.sukunimi@ficora.fi Jani Arnell Vanhempi tietoturva-asiantuntija (Huoltovarmuuskriittinen infrastruktuuri) etunimi.sukunimi@ficora.fi Viestintäviraston teletoimintamääräykset velvoittavat kansallista teletoimintakenttää rakentamaan ja ylläpitämään mm. tietoturvallisuuden hallintajärjestelmää sekä ilmoittamaan Viestintävirastolle tietoturvaloukkauksista sekä merkittävistä vika- ja häiriötilanteista. Viestintäviraston määräykset muodostavat teletoimintakentässä tietoturvallisuuden perustason ja edesauttavat näin myös huoltovarmuuskriittisen toimijakentän tietoturvallisuustason ylläpitoa ja kehittämistä. http://www.ficora.fi/index/saadokset/maaraykset/teletoiminta.html Huoltovarmuuskeskus on kauppa- ja teollisuusministeriön hallinnonalan laitos, jonka tehtävänä on maan huoltovarmuuden ylläpitämiseen ja kehittämiseen liittyvä suunnittelu ja operatiivinen toiminta. http://www.nesa.fi Huoltovarmuuskeskus on julkaissut useita eri dokumentteja ja selontekoja eri huoltovarmuuskriittiseen toimintaympäristöön liittyen. Yksi tällaisista dokumenteista on nimeltään: "Viestintäverkkojen ja viestintäpalveluiden varmistaminen. Opas käyttäjille". Opas on saatavilla osoitteesta: http://www.huoltovarmuus.fi/julkaisut/esittely/?id=75.com F-Secure on suomalainen, yksi maailman johtavista antivirus- sekä henkilökohtaisten palomuuriratkaisujen toimittajista. http://www.f-secure.com F-Secure seuraa 24/7/365 myös muita internet-verkkoja uhkaavia tilanteita, kuten verkkoidentiteettien anastamiseen ja roskapostitukseen liittyviä uhkia. F-Secure:n (9/15)

muodostamaan tietoturvallisuuden tilannekuvaa on mahdollista seurata mm. Weblog:n välityksellä, joka on saatavilla osoitteesta: http://www.f-secure.com/weblog/ Digitoday on suomalainen IT-alan portaali, joka kokoaa yhteen uutisartikkeleita ympäri maailman. Digitoday-portaali sisältää myös tietoturvallisuus-osion, jonka kautta on mahdollista seurata kansallisia ja kansainvälisiä tietoturvallisuuden ilmiöitä. http://www.digitoday.fi/tietoturva 3.2.2 Kansainväliset ENISA (European Network and Information Security Agency) eli Euroopan verkko- ja tietoturvaviraston on virallisesti vuonna 2005 operatiivisen toimintansa aloittanut EU:n alainen virasto, jonka tehtävänä on edistää eurooppalaista tietoturvaa ja tätä kautta turvata kilpailukykyä. http://www.enisa.europa.eu ENISA:n teknisen osaston riskienhallintayksikkö on koonnut varsin kattavan listauksen riskienhallintamenetelmistä ja työkaluista sekä tarjoaa informaatiota mm. nykyisistä, nousevista ja tulevaisuuden uhkista. ENISA:n riskienhallintayksikön tuottama materiaali on saatavissa osoitteesta: http://www.enisa.europa.eu/rmra CPNI (Center for the Protection of National Infrastructure) on Iso-Britannian valtiollinen toimija, jonka tehtävänä on mm. pienentää huoltovarmuuskriittisen infrastruktuurin haavoittuvuuksia vaikuttaen näin yhteiskunnan elintärkeiden toimintojen toiminnan jatkuvuuteen. CPNI tarjoaa palveluitaan huoltovarmuuskriittisen infrastruktuurin toimijoille ja on tehnyt useita selontekoja ja raportteja aihepiiriin liittyen. CPNI:n julkaisema materiaali on saatavilla osoitteesta: http://www.cpni.gov.uk/ CPNI:n julkaisemat prosessien ohjausjärjestelmien turvallisuusdokumentaatio on saatavilla mm. osoitteesta: http://www.cpni.gov.uk/products/guidelines.aspx NIST (National Institute of Standards and Technology) on Yhdysvaltain standardointielin. Yleisien standardien lisäksi NIST on julkaissut myös parhaita käytäntöjä sekä muita selontekoja liittyen huoltovarmuuskriittisen infrastruktuurin turvaamiseen. Lisätietoja NIST:n toiminnasta on saatavilla osoitteesta: http://www.nist.gov NIST on julkaissut myös suosituksen kansallisten huoltovarmuuskriittisten tietojärjestelmien turvaamiseen Guide to Industrial Control Systems (ICS) Security ja se on saatavilla osoitteesta: http://csrc.nist.gov/publications/drafts/800-82/2nd-draft-sp800-82-clean.pdf (10/15)

US-CERT (United States Computer Readiness Team) on Yhdysvalloissa yhteistyössä DHS:n (Department of Homeland Security) ja yksityissektorin toimijoiden kanssa toimiva CERT-yksikkö. http://www.us-cert.gov Normaalin CERT-toiminnan lisäksi US-CERT on vahvasti keskittynyt huoltovarmuuskriittisen infrastruktuurin turvaamiseen ja julkaissut useita selontekoja ja raportteja aihealueeseen liittyen. http://www.us-cert.gov/control_systems/ CERT/CC (CERT Coordination Centre Carnegie Mellon University's Software Engineering Institute USA) CERT/CC on yksi maailman suurimmista ja tunnetuimmista CERTtoimijoista. CERT/CC tarjoaa CERT-palveluidensa lisäksi mm. listauksen kaikista maailman CERT-toimijoista. http://www.cert.org/csirts/national/contact.html Symantec on yksi maailman johtavia tietoturvallisuusalan yrityksiä, joka tunnetaan mm. antivirus- ja palomuurituotteistaan sekä eri turvallisuusalan postituslistojen tarjonnastaan. http://www.symantec.com Symantec on myös tehnyt selontekoja SCADA ja Prosessien ohjausjärjestelmien tietoturvallisuudesta, jotka ovat saatavilla osoitteesta: http://www.symantec.com/business/solutions/focus.jsp?solid=electric&solfid=scada Symantec on myös tarkastellut prosessiohjaus- sekä SCADA-järjestelmien tietoturvaloukkaustapauksia ISID-palveluun raportoitujen tapahtumien perusteella: http://www.byressecurity.com/pages/news/archive.php?id=9 Symantecin verkko- ja ohjelmistoturvallisuutta käsittelevät postituslistat ovat saatavilla osoitteesta: http://www.securityfocus.com/ Secunia on ohjelmistohaavoittuvuuksien raportointiin keskittynyt yritys, jonka kautta on mahdollista seurata myös joitain SCADA-ympäristöihin liittyviä haavoittuvuuksia. Secunian varoitukset on mahdollista myös tilata sähköpostitse. http://www.secunia.com ISS (Internet Security Systems) on yhdysvaltalainen tietoturvallisuusalan yritys, joka on keskittynyt tuottamaan asiakkailleen tietoturvallisuuspalveluita sekä tuotteita, joista esimerkkeinä mm. hyökkäyksien havaitsemis- ja estojärjestelmät. http://www.iss.net ISS on myös tehnyt selontekoja SCADA-järjestelmien tietoturvallisuudesta, joista esimerkkinä: http://www.blackhat.com/presentations/bh-federal-06/bh-fed-06-maynor-grahamup.pdf Anti-Phishing Working Group on maailmanlaajuinen yhteistyöryhmä, jonka tarkoituksena on jakaa tietoa verkkopetoksien sekä -identiteettien kalasteluun liittyen. (11/15)

http://www.antiphishing.org/ Forrester on yksi johtavista konsultointi- ja tutkimusalan organisaatioista, joka on keskittynyt myös tietoturvallisuusalan tutkimukseen. Forresterin julkaiset raportit ovat maksullisia: http://www.forrester.com Gartner on yksi maailman johtavista IT-alan konsultointi- ja tutkimuslaitoksista. Myös Gartner julkaisee tietoturvallisuuteen ja tätä kautta myös huoltovarmuuskriittisen infrastruktuurin turvaamiseen liittyviä raportteja, mutta ne ovat pääosion maksullisia. http://www.gartner.com/ Finextra.com on finanssialan riippumaton toimija, joka kokoaa yhteen eri finanssialan tietolähteitä. http://www.finextra.com Finnextra.com:n kautta on mahdollisuus tutustua myös alan tietoturvallisuusilmiöihin. http://www.finextra.com/finchannel.asp?topic=security ISC (Internet Systems Consortium) on ei kaupallinen konsortio, joka tukee omalla toiminnallaan Internetin infrastruktuuria kehittämällä internetin ydintoimintojen ohjelmistosovelluksia. http://www.isc.org/ SANS Institute on yhdysvaltalainen, yksi maailman suurimmista tietoturva-alan koulutus- ja sertifiointiyrityksistä. SANS julkaisee useita raportteja www-sivuillaan sekä ylläpitää mm. Top 20 Vulnerabilities -listaa. https://www2.sans.org/ sekä jakaa internetin uhkatilannetietoa: http://isc.sans.org ISO (International Organization for Standardization) on kansainvälinen standardointialan kattojärjestö. ISO:n www-sivustoilta löytyy kattava listaus mm. tietoturvallisuusalan standardeja. http://www.iso.org/iso/home.htm PCI/DSS on maksukorttiteollisuuden tietoturvallisuusstandardi. Standardi esittelee mittavan määrä tietoturvavaatimuksia eri tietoturvallisuuden osa-alueiden osalta. https://www.pcisecuritystandards.org/tech/ The Register on yksi IT-alan seuratuimpia verkko-portaaleja. The Register seuraa ja listaa myös tietoturvallisuuteen liittyviä artikkeleita ja ilmiöitä. http://www.theregister.com/ E-Secure-IT seuraa 24/7/365 maailmanlaajuisia, tietoturvallisuuteen liittyviä ilmiöitä. E-Secure-IT:n välityksellä on mahdollista tilata huoltovarmuuskriittistä toimikenttää koskevia prosessiohjaus- sekä SCADA-järjestelmiin liittyviä haavoittuvuustiedotteita. https://www.e-secure-it.com/ (12/15)

Business Continuity Institute toimii liiketoiminnan jatkuvuuden osa-alueella kooten yhteen liiketoiminnan jatkuvuussuunnitteluun liittyvää materiaalia standardeista hyviin käytäntöihin. http://www.thebci.org/ 3.3. Tutkimus- ja analysointitoiminta 3.3.1 Kansalliset VTT on puolueeton asiantuntijaorganisaatio, joka kehittää uutta teknologiaa, tuottaa tutkimus-, kehitys-, testaus- ja tietopalveluita sekä kotimaisille että kansainvälisille asiakkailleen, yrityksille ja julkiselle sektorille. Osaamisellaan ja uusilla innovaatioilla VTT pyrkii lisäämään omistajansa ja asiakkaidensa teknistaloudellista kilpailukykyä ja yhteiskunnan hyvinvointia. http://www.vtt.fi VTT tekee työtä myös tietoturvallisuuden sekä riskienhallinnan parissa, josta hyvänä esimerkkinä PK-RH-riskienhallintamenetelmä. http://www.pk-rh.fi/ Yhteystiedot: VTT tietoturvatutkimus Reijo Savola Tutkimuskoordinaattori etunimi.sukunimi@vtt.fi OUSPG (Oulu University Security Programming Group) on Oulun Yliopistossa toimiva ohjelmistotestaukseen keskittynyt yhteisö. OUSPG on löytänyt ja julkaissut useita merkittäviä haavoittuvuuksia ja tehnyt yhteistyötä turvallisempien ohjelmistotuotteiden kehittämiseksi. http://www.ee.oulu.fi/research/ouspg/ Codenomicon on suomalainen ohjelmistohaavoittuvuuksien analysointiin erikoistunut yritys. Codenomicon tarjoaa myös julkisesti saatavilla olevia raportteja ja taustatietoa omilla www-sivuillaan aihealueeseen liittyen. http://www.codenomicon.com/ 3.3.2 Kansainväliset CI2RCO (Critical Information Infrastructure Research Co-ordination Project) on EU:n FP:n (Framework Program) rahoittama huoltovarmuuskriittisen infrastruktuurin turvaamiseen keskittyvä koordinointiprojekti, joka on koonnut yhteen useita eri alan toimijoita ja yhteisöjä. http://www.ci2rco.org/ IIRRIS (Integrated Risk Reduction of Information-based Infrastructure Systems) on EU:n rahoittama tutkimusprojekti, joka keskittyy turvallisten huoltovarmuuskriittisten ympäristöjen tutkimiseen, simulointimallien rakentamiseen sekä pirstoutuneiden ympäristöjen yhdistämiseen. http://www.irriis.org/ (13/15)

IIRRIS julkaisee myös CIIP Newsletter lehdykkää (ECN) yhteistyössä EU:n kanssa, jossa käsitellään huoltovarmuuskriittiseen toimintaympäristöön liittyviä ajankohtaisia asioita. http://www.irriis.eu/?lang=en&nav=289 George Mason University s Critical Infrastructure Protection Program on yhdysvaltalaisen yliopiston ylläpitämä tutkimushanke, joka tähtää huoltovarmuuskriittisen infrastruktuurin turvaamiseen tutkimalla eri lähestymistapoja ja strategiaa. http://cipp.gmu.edu/ ISID (Industrial Security Incident Database) on British Columbia Institute of Technology:n alainen hanke, joka keskittyy SCADA- ja prosessiohjausjärjestelmien tietoturvaloukkaustapahtumien tilastointiin. http://www.bcit.ca/appliedresearch/security/services.shtml#9 British Columbia Institute Of Technology:llä on käynnissä myös useita muita hankkeita sekä palveluita huoltovarmuuskriittiseen infrastruktuuriin liittyen. http://www.bcit.ca/appliedresearch/security/services.shtml#9.com Digital Bond on yksi alan merkittävimmistä Huoltovarmuuskriittisen infrastruktuurin tutkimus- ja analysointitaloista, joka on julkaissut merkittävän määrän alan katsauksia sekä artikkeleita. http://www.digitalbond.com/ Sandia National Laboratories on yhdysvaltalainen, myös huoltovarmuuskriittistä infrastruktuuria, tutkiva yhteisö. Sandia on julkaissut mm. selonteon "Common Vulnerabilities in Critical Infrastructure Control Systems" http://www.sandia.gov/iorta/docs/sand2003-1772c_common_vulnerabilities_ci_control1.pdf CAIDA (Cooperative Accociation for Internet Data Analysis) tarjoaa internet-liikenteen analysointipalveluita, joiden avulla on mahdollista mm. suunnitella ja seurata verkkoja sekä verkkojen reititystä ja kuormaa. CAIDA on julkaissut myös useita raportteja ja selontekoja. http://www.caida.org Team Cumry on vapaaehtoistyöhön perustuva teknologia-ihmisistä koostuva yhteistyöryhmä, jonka toiminta tähtää turvallisemman internet-yhteisön saavuttamiseen. Team Cumry tarjoaa mm. laajan valikoiman erilaisia tilastoja ja työkalua internet-liikenteen seurantaan ja analysointiin liittyen. http://www.cymru.com/ RIPE NCC on internet-osoitteiston hallintaan keskittynyt toimija, joka tarjoaa suuren määrän internet-toimintaan liittyviä palveluita. RIPE:n jäseniä ovat teleyritykset ja internet-palveluntarjoajat pääosin Euroopan, Lähi-idän ja Keski-Aasian alueilta. http://www.ripe.net/ (14/15)

SCNI (The Security of Critical Networked Infrastructures Action) on EU:n rahoittama hanke, joka keskittyy huoltovarmuuskriittisten infrastruktuureiden kuvauksien laatimiseen, riskien kartoittamiseen sekä ympäristöjen hallintaan turvallisuuden näkökulmasta. http://scni.jrc.it/ 3.4. Konferenssit ja seminaarit 3.4.1 Kansalliset Kansallinen CIP-seminaari on Viestintäviraston ja Huoltovarmuuskeskuksen yhteistyössä järjestämä seminaari, joka kokoaa yhteen kansallisia huoltovarmuuskriittisiä organisaatioita kuulemaan ja keskustelemaan ajankohtaisista ilmiöistä sekä vaihtamaan tietoa hyvistä käytännöistä. Kansalliseen CIP-seminaariin pääsee vain kutsun perusteella. Yhteystiedot: Jani Arnell Vanhempi tietoturva-asiantuntija Viestintävirasto / CERT-FI etunimi.sukunimi@ficora.fi Tuija Kyrölä Valmiuspäällikkö Huoltovarmuuskeskus etunimi.sukunimi@nesa.fi 3.4.2 Kansainväliset Meridian on valtiollinen, huoltovarmuuskriittisen ympäristöjen turvaamiseen sekä tiedonvaihtoon keskittynyt yhteistyöryhmittymä, joka kokoaa yhteen eri maiden edustajia. Yhteistyöryhmä jakaa mm. kokemuksia kansallisista strategioista sekä toimintamalleista mm. yksityissektorin ja valtiollisten toimijoiden yhteistyön saralta. Meridianyhteistyöhön osallistuu Suomesta eri ministeriöiden valitsema edustusto. Vuonna 2007 Suomesta olivat edustettuina Liikenne- ja viestintäministeriön hallinnonala sekä Sisäministeriön hallinnonala. Yhteystiedot: Kari Ojala Viestintäneuvos Liikenne- ja viestintäministeriö etunimi.sukunimi@mintc.fi Jani Arnell Vanhempi tietoturva-asiantuntija Viestintävirasto / CERT-FI etunimi.sukunimi@ficora.fi (15/15)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute