Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa neuvotteleva virkamies Mikael Kiviniemi VAHTIn pj, DI Hallinnon kehittämisosasto
Valtiovarainministeriön tehtäviä Hallinnon rakenteiden ja ohjausjärjestelmien sekä keskushallinnon kehittäminen Julkisten palvelujärjestelmien laadunhallinnan ja tuotantotehokkuuden parantaminen Valtion tietohallinnon, tietojenkäsittelyn ja tietovarantojen yleinen kehittäminen Valtion tietoturvallisuuden ohjaus Julkisen hallinnon sähköisen asioinnin ohjaus ja edistäminen sekä toiminnallisten ja teknisten ratkaisujen kehittäminen ja yhteensovittaminen. Vastuuorganisaatioina VM:n hallinnon kehittämisosasto Valtion IT johtamisyksikkö Elimet: Valtion IT johtoryhmä, VAHTI ja VITKO Ministeriryhmät: tietoyhteiskunta ja HALKE
Tiedonkäsittelyn ja tietoturvan merkitys ja haasteita Toiminnot riippuvaisia tiedonkäsittelystä ja -siirrosta Puutteellinen tietoturva vaarantaisi hallinnon, kansalaisten, yhteisöjen ja asiakkaiden etuja sekä aiheuttaisi lisätyötä ja -kustannuksia Tietoturvallisuus keskeinen osa organisaation toiminnan ja tietojenkäsittelyn laatutyötä ja varmistamista Merkitystä lisäävät: Tietoyhteiskuntakehitys, sähköinen asiointi ja kaupankäynti, kansainvälistyminen, verkottuminen, sähköpostit, tietoturvauhkat, konvergenssi, eri aineistojen hallinta sekä toimintojen ja palveluiden siirtyminen tietoverkkoihin Kansainvälinen ja kansallinen kehitys- ja yhteistyö Normaalioloissa perusta poikkeusolojen toiminnoille Useat säädökset ja ohjeet sisältävät velvoitteita Murtautumisvälineet, tekninen kehitys sekä yhä suurempi tietoturvallisuushyökkäysten ja haittaohjelmien uhka Toimintojen ja palvelujen jatkuvuus varmistettava
Tietoturvallisuuden kehitysprosessi
Esimerkki: Ajankohtaiset tiedonkäsittelyasiat OECD-tasolla Tunnistaminen ja identiteetin hallinta Turvallisuuskulttuurin kehittäminen Sähköisen asioinnin turvallisuus Kriittisen infrastruktuurin turvallisuus Tietosuojan kehittäminen Luottamus tietoyhteiskunnassa Cert-toiminnot Uuden sukupolven verkot Konvergenssi www.oecd.org/sti/cultureofsecurity
Lainsäädäntö, normit ja ohjeet L a i n s ä ä d ä n tö Valtioneuvoston periaatepäätökset valtionhallinnon tietoturvallisuudesta ja kansallisesta tietoturvallisuusstrategiasta VAHTI-ohjeet Ministeriöiden ja niiden hallinnonalan omat ohjeet Yksiköiden omat ohjeet Muiden organisaatoiden tietoturvaohjeet ja säädökset
Tiedonkäsittelyä koskevaa lainsäädäntöä perustuslain perusoikeussäännökset (731/1999) henkilötietolaki (523/1999) laki viranomaistoiminnan julkisuudesta (621/1999) laki sähköisestä asioinnista hallinnossa (13/2003) laki sähköisistä allekirjoituksista (14/2003) Laki yksityisyyden suojasta työelämässä (759/2004) valtioneuvoston ohjesääntö (huhtikuu 2003) arkistolaki (831/1994) rikoslaki ja laki rikoslain muuttamisesta (769/1990, 578/1995, 951/1999) valmiuslaki (1080/1991) laki turvallisuusselvityksistä (177/2002) Sähköisen viestinnän tietosuojalaki (516/2004) Laki kansainvälisistä tietoturvavelvoitteista (588/2004)
Vnpp valtion tietoturvallisuudesta 11.11.1999: viranomaisen tietoturvallisuustyö Tietoturvallisuus on kiinteä osa viranomaisen koko toiminnan varmistamista ja kehittämistä. Ulkoistamissopimuksia laadittaessa on sovittava kirjallisesti palvelutoimittajalle asetettavista tietoturvallisuusvaatimuksista. Tieto- ja muusta turvallisuudesta vastaavien henkilöiden lisäksi organisaation johdolla, tietohallintohenkilöstöllä ja kaikilla tietotekniikan käyttäjillä on oltava tietoturvallisuuden perustuntemus. Tietoturvallisuus tulee ottaa huomioon laaja-alaisesti siten, että se kattaa toiminnan ja yhteistyön organisaation johdosta, sovellusten ja käyttöpalvelun vastuuhenkilöistä palvelujen loppukäyttäjiin ja toiminnan vastuuhenkilöihin. Tietoturvallisuustoimenpiteiden kustannukset otetaan huomioon toimintaa suunniteltaessa ja talousarvioesityksiä laadittaessa. Viranomaisella tulee olla tiedonkäsittelyn turvaamissuunnitelma, toipumissuunnitelma sekä valmiussuunnitelma. Ministeriön, viraston ja laitoksen ylin johto hyväksyy ja vahvistaa organisaatiossaan noudatettavat turvallisuus- ja varautumisperiaatteet sekä määrittelee niitä hoitava sisäisen organisaation.
VAHTI ja hallinnon tietoturvatyö Valtion tietoturvallisuuden johtoryhmä VAHTI on VM:n asettama valtion tietoturvallisuuden koordinaatioelin VM johtaa VAHTIn toimintaa ja vastaa valmistelusta VAHTI käsittelee tietoturvallisuutta laajasti kaikilta sen osa-alueilta VAHTI käsittelee valtion tietoturvallisuutta koskevat määräykset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset VM:n ja VAHTIn tietoturvatyössä keskeistä laaja yhteistoiminta ja hallinnon asiantuntijoiden aktiivinen osallistuminen Toteutettu useita yhteishankkeita VM johdolla www.vm.fi/vahti www.hare.vn.fi
Valtion tietoturvaohjeet Laaja, yleinen VM:n VAHTI- tietoturvaohjeisto, jota kehitetään jatkuvasti. Ohjeiston tarkoitus kattaa kaikki alueet. VM antanut valtion organisaatioiden toimintaa tukevaa tietoturvallisuuden ohjeistusta noin 20 vuoden ajan. Tehostettu vuodesta 1999 alkaen. Ohjeisto on VM:ssä oma VAHTI-julkaisusarjansa. Hyvät tietoturvakäytännöt ja tarkistuslistat. Ohjeistoa käytetään laajasti myös valtionhallinnon ulkopuolella: kunnissa, yrityksissä, järjestöissä ja kansainvälisessä yhteistoiminnassa Noin 30 laaja-alaista ohjetta Verkossa: www.vm.fi/vahti www.finansministeriet.fi/datasakerhet www.financeministry.fi/security
Tietoturvallisuus ja tulosohjaus VAHTI 2/2004, 4/2004, 1/
Tietojen turvallisuusluokittelu Viranomaisen hallussa oleva tietoaineisto Erityissuojattava tietoaineisto Erittäin salainen (I) Salainen (II) Luottamuksellinen (III) Käyttö rajoitettu (IV)
Tietoturvapoikkeamatilanteiden hallinta VAHTI 3/ tietoturvallisuuden merkityksen tiedostaminen (1) tietoturvallisuuden ylläpito ja kehittäminen (2) johtopäätökset hyvä tietoturvallisuuden taso normaalioloissa (2.1) poikkeamiin reagointiin varautuminen (2.2) poikkeamista toipumiseen varautuminen (2.3) tapahtumapäiväkirjan pito (3.2) tapahtumaanalyysi (3.3) poikkeamatyypin mukaiset toimenpiteet (3.6) poikkeaman havaitseminen (3.1) lähteen määrittäminen (3.4) todisteaineisto (3.7) eristämisestä päät tämi nen (3.5) normaalitoiminnan palauttaminen (4.1) tiedottaminen (4.3) vi es tin tä (3. 8) o p p i m i n e n ja rapor tointi (4.2)
VM:n VAHTI-ohjeiden tarkistuslistoja uhkien tunnistamiseen Valtion tietohallintotoimintojen ulkoistamisen tietoturvallisuussuositus, Keskeiset uhkat, VAHTI 2/1999, Liite 4 Valtionhallinnon tietojärjestelmäkehityksen tietoturvasuositus, Elinkaaren eri vaiheiden tietoturvatarkistuslistat, VAHTI 3/2000, Liite 3 Sähköisten palveluiden ja asioinnin tietoturvallisuuden yleisohje, Sähköisen palvelun turvallisuusanalyysi, VAHTI 4/2001, Liite 3 Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslista, VAHTI 6/2001 Valtionhallinnon etätyön tietoturvallisuusohje, Uhkia etäkäytön turvallisuudelle, VAHTI 3/2002, Liite 1 Tietoturvallisuuden hallintajärjestelmän arviointi, Arviointityökalu tarkistuslista, VAHTI 3/2003, Liite 5
Tiedonkäsittelyn ohjauksen ja sääntelyn kehittäminen Julkisuuslain osatarkistus ja hyvää tiedonhallintatapaa koskevan asetuksen uudistaminen Valtion tietoturvan kehitysohjelma Valtion IT kehittämishanke (ValtIT) Varautumisen tuki sektorilainsäädännössä Valmiuslainsäädännön kehittäminen Valtiovarainministeriön ohjausroolin vahvistaminen
ValtIT Keskitetyn ohjauksen vahvistus (VM) Valtion IT johtamisyksikkö valtion IT palvelut tietohallintolaki toiminnan ja talouden ohjaus Valtion IT strategia
Valtion tietoturvan kehitysohjelma Ohjelman julkaisu VM:n julkaisuna VAHTI 1/2004 Vastuuministeriönä valtiovarainministeriö Kehitysohjelmalla vastataan tietoturvahaasteisiin sekä vahvistetaan tietoturvallisuuden kehitys- ja yhteistyötä VM:n tukena valmistelusta, koordinoinnista, seurannasta ja yhteensovittamisesta huolehtii VAHTI Perustetut hankkeet VAHTIn alaryhmiä ja ohjauksessa Resurssien riittävä kohdentaminen tietoturvatyöhön Kehitysohjelmalla mm. tietoyhteiskuntaohjelman ministeriryhmän ja HALKEn tuki 22 kehittämiskohteessa 28:sta merkittävää kehitystyötä Kehitysohjelman hankkeissa valtionhallintotasolla nimettyinä noin 300 asiantuntijaa
Valtion tietoturvallisuuden kehitysohjelman 2004-2006 hankealueet 3. Tietoturvallinen viestintä ja asianhallinta 2. Valtion tietoturvatyön yleinen tukeminen 4. Tietoturvavastaavien tukeminen 5. Palvelujen kehittäjien tukeminen 1. Tietoturvakulttuurin luominen 6. Peruskäyttäjien tukeminen
Esimerkkejä valtion tietoturvakehitysohjelman toimeenpanosta 1/2 Tietoturvallisuuden sitominen prosesseihin hanke Kansainvälisen tietoturvayhteistyön jaosto Tietoturvallisuuden tulosohjaus- ja mittaus jaosto Yhteistoiminta kuntasektorin, elinkeinoelämän ja kansainvälisten toimijoiden kanssa sekä tietoyhteiskuntaohjelman kanssa VAHTI- ohjeiden laajentunut käyttö myös yrityksissä, kunnissa, kansainvälisessä yhteistyössä ja koulutuksessa VAHTIn toiminnan vahvistaminen Keskeisten tietojärjestelmien suojaaminen- hanke Tietoturvallisuus valmiustoiminnassa- hanke Tietoturva-arvioinnit- hanke Jaetut resurssit tietoturvatyössä- hanke
Esimerkkejä valtion tietoturvakehitysohjelman toimeenpanosta 2/2 Turvatun sähköpostin käyttö VAHTIn omassa toiminnassa Roskapostin vastaiset toimet- jaosto Varmenteiden käyttö sähköpostissa- hanke Tunnistaminen ja oikeuksien hallinta- hanke Tietoliikenneverkkojen ja päätelaitteiden tietoturva- hanke Asianhallinnan tietoturvallisuus- hanke Peruskäyttäjien tietoturvatyön jaosto Salaustuotteiden puitesopimukset 24/7 tietoturvallisuuden kehittäminen