Sähköi sen pal l tietototurvatason arviointi



Samankaltaiset tiedostot
Laatua ja tehoa toimintaan

Virtu tietoturvallisuus. Virtu seminaari

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Varmaa ja vaivatonta viestintää kaikille Suomessa

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Tietoturva Kehityksen este vai varmistaja?

Auditoinnit ja sertifioinnit

Tutkimuslaitosseminaari

Ohje arviointikriteeristöjen tulkinnasta

VIRTU ja tietoturvatasot

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Tietoturvapolitiikka NAANTALIN KAUPUNKI

1.2 Mahdollista joustava muutos suojaustasolta toiselle tilanteen mukaan myös ylöspäin

Vihdin kunnan tietoturvapolitiikka

Kehmet. Yleisesittely

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Espoon kaupunki Tietoturvapolitiikka

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Standardit tietoturvan arviointimenetelmät

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Tietoturvallisuus ja varautuminen kunta- ja palvelurakennemuutoksessa. Valtiovarainministeriö Puh tai v

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Espoon kaupunki Tietoturvapolitiikka

Tietoturvaa verkkotunnusvälittäjille

SISÄLLYS ESIPUHE... 10

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVAPOLITIIKKA

ABB Drives and Controls, Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

TIETOTURVAA TOTEUTTAMASSA

Tietoturvapolitiikka Porvoon Kaupunki

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

Tietoturvapalvelut valtionhallinnolle

Anna kaasunvalvontasi osaaviin käsiin. Elinkaaripalvelu

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

Tietoturvallisuuden johtaminen

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Pilvipalveluiden arvioinnin haasteet

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus


Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tietosuoja henkilöstön rekrytoinnissa

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Valtioneuvoston asetus

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Tietosuojan ja tietoturvan kehittämisen avainpelurit organisaatiossa Pyry Heikkinen

Tietoturvapolitiikka

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Potilastiedon arkistoon liittyminen 6 kk tukikokous

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Teknisen ICTympäristön

Turvallisuuden lyhyt koulutuspaketti

Yhteentoimivuus ja tiedonhallintalaki

Vahva vs heikko tunnistaminen

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Tietoturvallisuuden ja tietoturvaammattilaisen

SFS-ISO/IEC 27018:2014 Menettelyohjeet henkilötietojen suojaamiseen henkilötietoja käsittelevissä julkisissa pilvipalveluissa

Digital by Default varautumisessa huomioitavaa

Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen

Lapin yliopiston tietoturvapolitiikka

Kiinteistöjen turvallisuusjärjestelmien toimivuus Helsinki. Hannu Eromäki, Inspecta Tarkastus Oy

Julkisen hallinnon yhteisen sähköisen arkistointipalvelun tietoturvavaatimukset ja -vaihtoehdot, loppuraportti Valtiovarainministeriö

TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS. Tausta, tavoitteet ja tarkoitus

Tietoturvakonsulttina työskentely KPMG:llä

Toimitilojen tietoturva

Valtion IT-palvelukeskuksen (VIP) palvelut. JulkIT Anna-Maija Karjalainen

Teknisen ICT-ympäristön tietoturvataso-ohje

Hankesuunnitelma. Novus-Hanke. Novus-Hanke. YYL:n tietojärjestelmien kokonaisuudistus HANKESUUNNITELMA. LIITE 1

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Siilinjärven kunta ja Valtion IT-palvelukeskus

Tietoturvapolitiikan käsittely / muutokset:

Tietoturvatyön kehittäminen

Tietoturvapolitiikka

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Ajankohtaista säädösrintamalta

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Keskushallintouudistus kohti yhtenäistä valtioneuvostoa. Timo Lankinen

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Tietoliikennepalvelulinjaukset

Viestintäviraston tietoturvapolitiikka

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Tarkastuslautakunta liite nro 5 (1/10) Kaupunginvaltuusto liite nro 3 (1/10)

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Transkriptio:

Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen

Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein vaatimustenmukaisuus

Ennen arviointia tulisi tunnistaa Keskeisimmät ympäristöön kohdistuvat riskit ja niiden perusteella kustannustehokkaimmat turvakontrollit Ympäristön keskeiset ja kriittiset komponentit Palveluun kohdistuvat vaatimukset (salassapito, käytettävyys, eheys, kiistämättömyys, todennettavuus) Palvelun kriittiset riippuvuudet Sopimukset Palvelutuottajat Keskeiset dokumentit, ohjeet ja linjaukset Keskeisimmät ympäristöön kohdistuvat vaatimukset

Milloin arviointi olisi parasta tehdä Osa arvioinnista jollakin tasolla tulisi tehdä reilusti ennen käyttöönottoa Käyttöönoton aikaan Keskeisten muutosten kohdalla Vakavien puutteiden korjaus käyttöönottovaiheessa on usein kallista Vakavien puutteiden korjaus käyttöönottovaiheessa on usein kallista, sen vuoksi kannattaa panostaa varhaiseen vaikuttamiseen

Mihin nähden arviointia tehdään Arviointi koostuu kokonaistarkastelusta, jonka osana on usein tarkastus, katselmointi, ti auditointi i ti tai useampia Arviointi tehdään usein johonkin vaatimuslähteeseen, viitekehykseen, sopimukseen, sitoumukseen tai ohjeisiin nähden

Viitekehyksiä Valtionhallinnon yhteinen arviointikehikko VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta VAHTI 3/2010 Sisäverkko-ohje VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohje VAHTI 3/2012 Teknisen ympäristön tietoturvataso-ohjeohje VAHTI 1/2013 Sovelluskehityksen tietoturvaohje VAHTI 5/2013 Päätelaitteiden tietoturvaohje KATAKRI ITAF A Professional Practises Framework for IS Audit/Assurance www.isaca.org COBIT SFS-ISO/IEC 27001 Tietoturvallisuuden hallintajärjestelmät

Suunnittelu Toteutus Raportointi Seuranta Auditoinnin tyypillinen kulku Ks. ISO 19011 ja ISO 27007

Arvioinnin sisältö, esimerkki Palvelulle asetetut tietoturvatavoitteet Yleiset toteutusperiaatteet Sopimussuhteet Tietoliikenneturvallisuus (dokumentointi, arkkitehtuuri, segmentointi, kaapelointi, rakenteet, tietoliikennelaitteet, tekniset kontrollit ja salaus, yhteyksien hallinta, testaus ja valvonta) Laitteiden turvallisuus (laitteistokirjanpito, omistajuus, sähkönsyöttö, käyttöolosuhteet, asennukset, laitehallinta, huolto ja kunnossapito, elinkaaren hallinta) Ohjelmistoturvallisuus (versionhallinta, päivitykset, lisensointi, muutokset, varmistusmenettelyt) Haittaohjelmien torjunta, tietoturvahaavoittuvuuksien hallinta Lokimenettelyt, toipumissuunnittelu, varajärjestelmät Tuotanto- ja kehitysympäristöjen eriyttäminen Käyttöoikeuksien käsittely, hallinta, roolit ja autentikointitapa järjestelmissä Vaarallisten työyhdistelmien välttäminen Järjestelmäkohtainen tietoturvaohjeistus Sallitut käyttötavat Ylläpito, tuki ja palveluvasteet Henkilöstön saatavuus, hälytys- ja varallaolotoiminta

Tietoturvallisuuteen liittyvää lainsäädäntöä valtionhallinnossa Laki viranomaisten i toiminnan i julkisuudesta 621/1999 ja asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta 1020/1999 Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 681/2010 Laki kansainvälisistä tietoturvallisuusvelvoitteista 588/2004

Tietoturvallisuuden arviointia koskeva lainsäädäntö valtionhallinnossa Laki viranomaisten i tietojärjestelmien t j t i ja tietoliikennejärjestelyjen arvioinnista 1406/2011 Laki tietoturvallisuuden arviointilaitoksista 1405/2011 Turvallisuusselvityslaki 726/2014

KATAKRI uudistuksessa Kansallinen turvallisuusauditointikriteeristö Osa-alueita uudistettu Turvallisuustasot poistettu Tiloihin aluejako Tietoihin ja niiden käsittelyyn suojaustasot aso (ST IV-III)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute