VAHTI sähköisen asioinnin tietoturvallisuus -ohje

Samankaltaiset tiedostot
VAHTI Sähköisen asioinnin tietoturvaohjeen esittely (VM 25/2017)

Sähköisen asioinnin tietoturvallisuus -ohje

Suomi.fi-palvelut. Kokonaisuuden ja palveluiden esittely lyhyesti Versio 1.0

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko tiistai Sähköisen asioinnin tietoturvaseminaari

Suomi.fiasiointivaltuudet

Suomi.fi-valtuudet Toisen henkilön tai yrityksen puolesta asioinnin mahdollistaja

eidas, kansallinen sähköisen tunnistamisen luottamusverkosto ja tunnistusmenetelmien varmuustasot Riitta Partala, Väestörekisterikeskus

Suomi.fi-asiointivaltuudet. Toisen henkilön tai yrityksen puolesta asioinnin mahdollistaja.

suomi.fi Suomi.fi -palvelunäkymät

Sähköisen asioinnin tietoturvallisuus -ohje. Valtiovarainministeriön julkaisuja 25/2017. Julkisen hallinnon ICT

suomi.fi Suomi.fi-palveluväylä

Sähköisen tunnistamisen eidastilannekatsaus

Suomi.fi-palveluväylä

Suomi.fi-palvelut ja kirjastot. Matti Sarmela

Millainen projekti Suomi.fi on? Projektinhallintapäivä 2017, Tampere

Suomi.fi -valtuudet Suomi.fi -palvelukokonaisuudessa Petteri Ohvo Sähköisen asioinnin tietoturvaseminaari

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

Lausunto - VAHTI 3/2017Sähköisen asioinnin tietoturvallisuus-ohjeluonnokseen Yleistä

Suomi.fi-asiointivaltuudet. Toisen henkilön tai yrityksen puolesta asioinnin mahdollistaja.

Suomi.fi-palvelutietovaranto

Suomi.fi-Asiointivaltuudet

Kansallinen palveluväylä

SELVITYS TIETOJEN SUOJAUKSESTA

Lintulahdenkuja 4, Helsinki / Teknologiakatu 7, Kokkola. Puhelin (vaihde) , sähköposti kirjaamo(a)vrk.fi

Verohallinnon KaPA-tilanne. Jukka Kyhäräinen, Verohallinto Ohjelmistotalopäivä

Kansallisen palveluväylän viitearkkitehtuuri

Valtioneuvoston asetus

SÄHKÖISEN TUNNISTAMISEN PALVELU KANSALLISESSA PALVELUARKKITEHTUURISSA

SÄHKÖINEN ASIOINTI MISSÄ ROOLISSA, MILLAISIN VALTUUKSIN

Uutta tulossa XBRL, tulorekisteri, KaPa. Jukka Kyhäräinen Tietovirtayksikkö

Kansallinen palveluarkkitehtuuri Tilanne ja lainsäädäntö

Suomi.fi-tunnistus

Suomi.fi- asiointivaltuudet. KaPA- Info

Suomi.fi-maksujen käyttöönotto valtionhallinnossa. VALTION TALOUSHALLINTOPÄIVÄ Finlandia-talo

Sähköisen asioinnin ensisijaisuus

Hallituksen esitys 59/2016 vp laiksi hallinnon yhteisistä sähköisen asioinnin tukipalveluista Hallintovaliokunta

Suomi.fi-palveluväylä

Kansallinen palveluarkkitehtuuri - missä mennään? JUHTAn syysseminaari

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

Suomi.fi-palveluväylä

Ehdotus hallituksen esitykseksi laiksi hallinnon yhteisistä sähköisen asioinnin tukipalveluista (VM140:06/2013)

Suomi.fi-jatkokehityshankkeen terveiset. Jari Manninen

Viestintäviraston tulkintamuistio vahvan ja heikon tunnistuspalvelun

Tiedotus- ja keskustelutilaisuus eidas-asetuksesta ja julkisten palveluiden kehittämisestä

KaPA-laki* ja sähköisen asioinnin tukipalvelut

Kansallisen palveluväylän viitearkkitehtuuri

Lausunto. Eläketurvakeskus pitää esitystä muilta osin tarpeellisena, mutta tukipalvelujen muuttamista maksullisiksi Eläketurvakeskus ei kannata.

Etu Sukunimi. xx.yyx.2010

Kansallinen palveluarkkitehtuuri TUNNISTUSPALVELU INFO

Kansallisen palveluarkkitehtuurin lainsäädäntötyöryhmän asettaminen

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Kansallinen palveluarkkitehtuuri Tilanne ja lainsäädäntö

Roolit ja valtuudet -hanke Asiointivaltuudet /suomi.fi -palvelu. Paasitorni Matti

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

Hallituksen esitys 59/2016vp laiksi hallinnon yhteisistä sähköisen asioinnin tukipalveluista Liikenne- ja viestintävaliokunta

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Kansallinen Palveluarkkitehtuuri projekti Lapin kunnissa

Suomi.fi-tunnistus ja eidas

OP Tunnistuksen välityspalvelu

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Kokonaisarkkitehtuuri julkisessa hallinnossa 2016

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Kansallinen palveluväylä. JUHTA neuvotteleva virkamies Jukka Uusitalo

Punkalaitumen kunta ja. Valtion tieto- ja viestintätekniikkakeskus. Valtori

Suomi.fi-tunnistaminen

Laatua ja tehoa toimintaan

Ohje salauskäytännöistä

Luvat ja valvonta ekosysteemi

Kansalaisen asiointitili. Palvelun yleinen esittely,

Tietoturva ja viestintä

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Valtioneuvoston asetus

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Arvio lainmuutostarpeista tiekarttatyöryhmän esitys

Muutos. Nopea, jatkuva, kiihtyvä ja pysähtymätön

Väestörekisterikeskuksen palvelut käytössäsi

Luvat ja valvonta ekosysteemi

2.1 Yhteispalveluna tarjottavat avustavat asiakaspalvelutehtävät

egovernment - Sähköisen asioinnin tulevaisuudennäkymiä

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

KÄYTTÖLUPAHAKEMUS PALVELUTIETO- VARANTOON. Suomi.fi-palvelutietovaranto

Digitalisoidaan julkiset palvelut. Anne Kauhanen-Simanainen Digitaaliset palvelut ja vaikuttamismahdollisuudet -työpaja

Suomi.fi-info

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Digital by Default varautumisessa huomioitavaa

KUNTAPALVELUIDEN SÄHKÖISTÄMINEN

Palveluhallinta Suomi.fi- palveluissa. KaPA- lain aamukahvit Säätytalolla Joonas Kankaanrinne, Väestörekisterikeskus

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Kansallinen tunnistusratkaisu. Erityisasiantuntija Markus Rahkola Valtiovarainministeriö

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Kansallisen palveluväylän viitearkkitehtuuri JUHTA Hankejohtaja Pauli Kartano Valtiovarainministeriö

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Avoimuus ja julkisen hallinnon tietohallinto. Yhteentoimivuutta avoimesti -seminaari Tommi Oikarinen, VM / JulkICT

VeroPinnan käyttöönotto ja käyttö

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Sähköisen tunnistamisen järjestäminen julkisessa

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Osoite: Lintulahdenkuja 4, Helsinki

VRK palvelualustana. Valtiovarainministeriön hallinnonalan johdon päivä Lea Krohns ja Janne Viskari

Transkriptio:

VAHTI sähköisen asioinnin tietoturvallisuus -ohje 13.12.2016 VAHTI-päivä Kimmo Janhunen / Oikeusrekisterikeskus VAHTI

VAHTI sähköisen asioinnin tietoturvallisuus ohjeen työryhmä Kimmo Janhunen, Oikeusrekisterikeskus, puheenjohtaja Kimmo Mäkinen, valtiovarainministeriö, vpj Aaro Hallikainen, Helsingin kaupunki Ari-Pekka Lehtonen, Tulli Aulikki Pakanen, puolustusministeriö Heli Westerberg, Verohallinto Mikko Viitaila, Viestintävirasto Pauli Paatsola, KEHA-keskus Topi Laamanen, Maanmittauslaitos Tuomo Salminen, Valtiontalouden tarkastusvirasto Jarkko Kangas, Deloitte, konsultti VAHTI sähköisen asioinnin tietoturvallisuus 2

Ohjeluonnoksen esittely Sähköisen asioinnin uhat ja suojaustarpeiden arviointi Sähköisen asioinnin tietoturvaperiaatteet Sähköisen asioinnin viitearkkitehtuuri Tunnistaminen ja valtuuttaminen sähköisissä asiointipalveluissa Suostumusten, tahdonilmausten ja viranomaispäätösten sähköinen käsittely Sähköisen asioinnin kansalliset tukipalvelut Muuta tukimateriaalia Lausuntokierros VAHTI sähköisen asioinnin tietoturvallisuus 3

VAHTI sähköisen asioinnin tietoturvallisuus 4

Sähköisen asioinnin uhat Tietomurto Hyökkääjä murtautuu sähköiseen asiointipalveluun päästäkseen valtuudetta käsiksi eijulkisiin tietoihin. Murtautumisen motiivina voi olla pyrkimys saavuttaa taloudellista hyötyä esimerkiksi arkaluonteisia henkilötietoja myymällä tai sillä uhkaamalla (ks. myös Kiristäminen). Tietovuoto Ei-julkisia tietoja päätyy suunnittelemattomasti sähköisen asiointipalvelun ulkopuolelle ja niitä käytetään käyttötarkoituksen vastaisesti esimerkiksi mainonnan kohdentamiseen. Tietovuodon riski ja tarvittavat riskienhallintatoimet tulee huomioida etenkin ulkoisten tukipalveluiden yhteydessä. Tietojen valtuudeton muokkaaminen Hyökkääjä, tai palvelun yksittäinen valtuutettu käyttäjä, muokkaa sähköisen asiointipalvelun haavoittuvuutta hyödyntämällä sen sisältämiä tietoja. Motiivina voi olla esimerkiksi taloudellinen hyötyminen (ks. Oman edun tavoittelu) tai viranomaisen maineen tahraaminen. Palvelunesto Hyökkääjä häiritsee tai estää kokonaan sähköisen asiointipalvelun normaalin käytön haitatakseen viranomaisen normaalia toimintaa tai tahratakseen viranomaisen mainetta. Kiristäminen Hyökkääjä uhkaa sähköisen asiointipalvelun omistajaa tai tuottajaa palvelunestolla, kiristyshaitta-ohjelmalla, tietomurrolla tai muulla laajamittaisella vahingon-teolla, ja vaatii palvelun omistajalta tai tuottajalta lunnaita, jotka maksamalla hyökkäykseltä ilmoitetaan voivan välttyä. Oman edun tavoittelu Yksittäinen käyttäjä tavoittelee henkilökohtaista, yleensä taloudellista, hyötyä esimerkiksi ohjaamalla sähköisessä asiointipalvelussa tai sen kautta etuuksia väärälle vastaanottajalle muokkaamalla valtuudetta maksuyhteistietoja tai vaikuttamalla väärillä tiedoilla viranomaisten päätöksiin. Kiristyshaittaohjelma aiheuttaa paikallisen palvelunestotilan salaamalla tiedot käyttökelvottomiksi salausavaimella, joka on ainoastaan hyökkääjän tiedossa. Tyypillisessä tapauksessa hyökkääjä lupaa purkaa salauksen maksua vastaan. VAHTI sähköisen asioinnin tietoturvallisuus 5

Sähköisen asiointipalvelun suojaustarpeiden arviointi Käsitelläänkö palvelussa luottamuksellista tietoa, esimerkiksi henkilötietoja tai yrityksen luottamuksellisia tietoja, joiden luottamuksellisuuden suojaamiseen tulee kiinnittää erityishuomiota? Käyttääkö asiakas palvelua ehkä vain kerran vai toistuvasti? Tuleeko edellisen asiointitapahtuman tietojen olla myöhemmin asiakkaan itsensä tai asiointia hoitavan viranomaisen käytettävissä? Kertyykö asioinnissa mittava määrä yksittäisiin asiakkaisiin liittyvää luottamuksellista tietoa? Mitä ei-julkista tietoa asiakkaalle on tarpeen välittää sähköisesti? Mitkä viestintäkanavat ovat tiedon välittämiseen riittävän turvallisia? VAHTI sähköisen asioinnin tietoturvallisuus 6

Sähköisen asiointipalvelun suojaustarpeiden arviointi Onko palvelun tarpeen käyttää korkeamman suojaustason tietoja, tietovarantoja tai tietojärjestelmiä, joihin liittyminen edellyttää erityisjärjestelyjä (mm. yhdyskäytäväratkaisut)? Onko palveluun liitetty ulkoisia tietojärjestelmiä teknisten rajapintojen kautta? Mitä tietoja rajapinnoissa välitetään? Millä tavalla tietojen käsittely liitetyissä järjestelmissä on turvattu? Kuinka tärkeää on taata palvelussa välitettävän tiedon eheys, tai toisaalta osoittaa asiakkaan tai viranomaisen suorittamien toimien kiistämättömyys? VAHTI sähköisen asioinnin tietoturvallisuus 7

Sähköisen asioinnin tietoturvaperiaatteet

Sähköisen asioinnin tietoturvaperiaatteet Tietojen luokittelua ja turvallista sähköistä käsittelyä ohjaavat periaatteet Asiointipalvelun rakenteellisista suunnittelua ohjaavat periaatteet Tietoturvapoikkeamien hallintaa koskevat periaatteet VAHTI sähköisen asioinnin tietoturvallisuus 9

Sähköisen asioinnin tietoturvaperiaatteet Tietojen luokittelua ja turvallista sähköistä käsittelyä ohjaavat periaatteet Määrittele ei-julkisen tiedon käsittelyperiaatteet Tunnista asiointipalvelun keskeiset käyttöskenaariot Arvioi ja hallitse säännöllisesti asiointipalveluun kohdistuvia uhkia Sitouta asiointipalvelun suunnittelijat ja toteuttajat tietoturvatavoitteisiin ja vaatimuksiin Sitouta palvelutoimittajat ja yhteistyökumppanit asiointipalvelun tietoturvatavoitteisiin ja vaatimuksiin Varmista tietoturvallisuuden riittävä koordinointi ja seuranta Opasta asiakkaita asiointipalvelun turvalliseen käyttöön VAHTI sähköisen asioinnin tietoturvallisuus 10

Sähköisen asioinnin tietoturvaperiaatteet Asiointipalvelun rakenteellisista suunnittelua ohjaavat periaatteet Minimoi riskialttiit toiminnot ja pääsy tietoon Sovella modulaarista arkkitehtuuria (tarkoituksenmukaisesti ja tietoturvallisuutta kerroksellisesti) Käytä asiointipalvelussa vain tietoturvallisiksi arvioituja teknisiä ratkaisuja Suojaa asiointipalvelun ympäristöt, tukijärjestelmät ja ylläpitäjät tietoturvauhilta Arvioi säännöllisesti asiointipalvelun tietoturvallisuuden tasoa VAHTI sähköisen asioinnin tietoturvallisuus 11

Sähköisen asioinnin tietoturvaperiaatteet Tietoturvapoikkeamien hallintaa koskevat periaatteet Kerää asiointipalvelun tapahtuma- ja lokitietoja riittävän kattavasti Tunnista asiointipalvelun normaali toiminta ja siitä tapahtuvat poikkeamat Varaudu tietoturvapoikkeamiin ja niistä palautumiseen VAHTI sähköisen asioinnin tietoturvallisuus 12

Sähköisen asioinnin viitearkkitehtuuri

Sähköisen asioinnin viitearkkitehtuuri käyttöliittymien ja palvelurajapintojen eriyttäminen VAHTI sähköisen asioinnin tietoturvallisuus 14

VAHTI sähköisen asioinnin tietoturvallisuus 15

Sähköisen asioinnin viitearkkitehtuuri tukipalvelut 1. Asiointipalvelussa käytetään ensisijaisesti kansallisia hallinnon sähköisen asioinnin tukipalveluita aina, kun palvelun omistavalla organisaatiolla on velvoite tai oikeus tukipalveluiden käyttöön. 2. Jos kansallista tukipalvelua ei ole saatavilla, saatavilla oleva tukipalvelu ei vastaa asiointipalvelun tarpeita tai organisaatio ei ole oikeutettu tukipalvelun käyttöön, asiointipalvelun omistaja voi toteuttaa keskitetyn tukipalvelun itse tai yhdessä, esimerkiksi organisaation sisäisessä tai hallinnonalan palvelukeskittymässä. 3. Muussa tapauksessa asiointipalvelun omistaja voi harkita kaupallisen tukipalvelun käyttöä asiointi-palvelussa varmistuttuaan riittävän luotettavasti tukipalvelun tietoturvallisuudesta ja vaatimuksenmukaisuudesta (huomioitava käytön edellyttämät sopimus- tai käyttöehdot ja erityisesti niiden mukaiset rajaukset). 4. Ellei tietoturvallisuuden ja vaatimuksenmukaisuuden varmistaminen ole mahdollista, palvelun omistajan tulee rajoittaa tietojenkäsittely ei-luotetussa tukipalvelussa julkisiin tietoihin. Tällöinkin on mahdollisesti rajattava tukipalvelussa tietojenkäsittelyä julkisten tietojen osalta vain niihin julkisiin tietoihin, joihin on tukipalvelun sopimus- tai käyttöehtojen arvioitu olevan riittävät ko. tietojen eheyden ja saatavuuden osalta (arvioitava riskit ja hyväksyttävissä oleva riskitaso) VAHTI sähköisen asioinnin tietoturvallisuus 16

Tunnistaminen ja valtuuttaminen sähköisissä asiointipalveluissa

Tunnistaminen ja valtuuttaminen sähköisissä asiointipalveluissa Sähköisen tunnistamisen varmuustasojen yhteenveto (eidas) Varmuustaso Varmuustaso tarkoittaa sähköisen tunnistamisen menetelmää, joka Matala tarjoaa rajoitetun luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta, ja vähentää henkilöllisyyden väärinkäytön ja muuttamisen riskiä Korotettu tarjoaa merkittävän luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta, ja vähentää merkittävissä määrin henkilöllisyyden väärinkäytön ja muuttamisen riskiä Korkea tarjoaa korkeamman luottamustason henkilön väitetyn tai esitetyn henkilöllisyyden osalta kuin korotetun varmuustason omaava sähköisen tunnistamisen menetelmä, ja jonka tarkoituksena on estää henkilöllisyyden väärinkäyttö ja muuttaminen Asiointipalvelun riskitaso Virheelliseen tunnistukseen liittyy kohtalainen (moderate) riski Virheelliseen tunnistukseen liittyy merkittävä riski Virheelliseen tunnistukseen liittyy korkea (substantial) riski VAHTI sähköisen asioinnin tietoturvallisuus 18

Tunnistaminen ja valtuuttaminen sähköisissä asiointipalveluissa Esimerkki sähköisen tunnistamisen menetelmän valintaprosessista VAHTI sähköisen asioinnin tietoturvallisuus 19

Tunnistaminen ja valtuuttaminen sähköisissä asiointipalveluissa Esimerkkejä sähköisen tunnistamismenetelmän varmuustasosta Esimerkki asiointipalvelusta tai käyttöskenaariosta Viranomaisen tiedottamispalvelu Asiakaspalaute ja kansalaisten osallistuminen Ei-luottamuksellinen vuorovaikutteinen asiointi Anonyymi X Matala varmuustaso Korotettu varmuustaso Vireillepano X X X X X Korkea varmuustaso Luottamuksellinen vuorovaikutteinen asiointi Tietojärjestelmien välinen tietojenvaihto X X X X (X) Viranomaispalvelut X X (X) VAHTI sähköisen asioinnin tietoturvallisuus 20

Suostumusten, tahdonilmausten ja viranomaispäätösten sähköinen käsittely

Suostumusten, tahdonilmausten ja viranomaispäätösten sähköinen käsittely - Kehittyneen sähköisen allekirjoituksen toimintaperiaate VAHTI sähköisen asioinnin tietoturvallisuus 22

Suostumusten, tahdonilmausten ja viranomaispäätösten sähköinen käsittely - Viranomaispäätösten koneellisen sähköisen allekirjoituksen periaate VAHTI sähköisen asioinnin tietoturvallisuus 23

Sähköisen asioinnin kansalliset tukipalvelut

Sähköisen asioinnin kansalliset tukipalvelut - Suomi.fi-palveluväylän standardinmukainen tietoturvallisuus Tietoturvaominaisuus Kuvaus ja hyödyt Vakioitu tiedonsiirtotapa Tietojen alkuperän ja eheyden varmentaminen Tietojen ja palveluiden näkyvyys Tiedon luottamuksellisuuden suojaaminen Allekirjoitettujen ja aikaleimattujen sanomien lokitus Suomi.fi-palveluväylä määrittää vakioidun SOAP-protokollaan perustuvan synkronisen tavan tarjota liityntöjä ja käyttää niitä. SOAP mahdollistaa rakenteisen tiedon välittämisen XML-muodossa ja eirakenteisen tiedon välittämisen SOAP-liitteinä. Palveluväylän tietoliikenne reititetään liityntäpalvelinten kautta. Palveluväylä huolehtii osoitteiden hallinnasta ja sanomien reitityksestä. Rekisteröinnin yhteydessä liityntäpalvelimille asennetaan Väestörekisterikeskuksen myöntämät palvelin- ja allekirjoitusvarmenteet, joita käytetään liityntäpalvelinten tunnistamiseen ja sanomien sähköiseen allekirjoitukseen. Organisaation tarjoamien rajapintojen näkyvyys palveluväylässä on rajattavissa käyttötarkoituksen mukaisesti vain valtuutetuille osapuolille. Määritykset tehdään palveluväylän liityntäkatalogissa. Palveluväylä mahdollistaa suojaustason IV aineiston siirtämisen edellyttämän yhteystason suojauksen. Väestörekisterikeskuksen tarjoama liityntäpalvelinohjelmisto sisältää palveluväylässä välitettävien, aikaleimattujen sanomien lokituksen sekä otsake- että sisältötasolla. VAHTI sähköisen asioinnin tietoturvallisuus 25

Sähköisen asioinnin kansalliset tukipalvelut - Suomi.fi-tunnistamisen standardinmukainen tietoturvallisuus Tietoturvaominaisuus Keskitetty sähköisen tunnistamisen välityspalvelu Standardinmukaiset sähköisen tunnistamisen menetelmät Käyttäjäidentiteetin voimassaolon tarkistus ja ajantasaisten henkilötietojen päivittäminen Laajeneva tunnistusvälinevalikoima Valmiiksi käyttäjille jaetut tunnistusvälineet Kuvaus ja hyödyt Asiointipalvelu tarvitsee liittää vain yhteen ulkoiseen tunnistuspalveluun, jonka kautta se saa käyttöön laajan tunnistusvälinevalikoiman. Vahvan ja vahvaa heikomman tunnistamisen käyttöönotto asiointipalvelussa on määrämuotoista ja ohjeistettua. Tunnistuspalvelun kautta tarjottavat sähköisen tunnistamisen menetelmät ovat eidas-standardin mukaisia ja Viestintäviraston hyväksymiä. Vahvaa tunnistusmenetelmää käytettäessä Suomi.fi-tunnistaminen tarkistaa jokaisen tunnistustapahtuman yhteydessä väestötietojärjestelmästä, että henkilön identiteetti on voimassa. Menettelyn ansiosta asiointi esimerkiksi kuolleen henkilön identiteetillä ei ole mahdollista. Asiointipalvelu saa tunnistustapahtuman yhteydessä lisäksi väestötietojärjestelmästä ajankohtaiset henkilötiedot. Suomi.fi-tunnistamiseen myöhemmin liitettävät tunnistusvälineet tulevat automaattisesti asiointipalvelun asiakkaiden käyttöön. Asiointipalvelun omistajan ei tarvitse huolehtia tunnistusvälineiden hankkimisesta ja jakelusta. Useissa tapauksissa voi olla järkevää soveltaa korotetun varmuustason tunnistusmenetelmää (vaikka palvelun riskiprofiili ei sitä edellyttäisi) siksi, että käyttäjällä on jo hallussaan tarvittava tunnistusväline. VAHTI sähköisen asioinnin tietoturvallisuus 26

Sähköisen asioinnin kansalliset tukipalvelut - Suomi.fi-asiointivaltuuksien standardinmukainen tietoturvallisuus Tietoturvaominaisuus Keskistetty kansallinen valtuusrekisteri Liityntä väestötietojärjestelmään ja kaupparekisteriin Kuvaus ja hyödyt Asiointivaltuuksien tarkistaminen on mahdollista julkishallinnon keskitetysti hallinnoimasta tietoturvallisesta palvelusta. Asiointipalvelu voi luotettavasti tarkistaa kansallisista perusrekistereistä, että valtuutetulla on oikeus asioida kyseisessä asiointipalvelussa toisen henkilön tai edustamansa yrityksen puolesta. VAHTI sähköisen asioinnin tietoturvallisuus 27

Sähköisen asioinnin kansalliset tukipalvelut - Suomi.fi-palvelunäkymien standardinmukainen tietoturvallisuus Tietoturvaominaisuus Ajantasainen tieto viranomaispalveluista Luottamuksellinen tiedoksiantojen välitys Turvallinen pääsy omiin tietoihin Kuvaus ja hyödyt Suomi.fi-palvelunäkymien kautta käyttäjä löytää ajantasaiset tiedot palveluista ja niiden palvelukanavista. Tämä parantaa välillisesti myös palveluiden turvallista käyttöä, koska käyttäjä voi paremmin luottaa löytyviin tietoihin (vrt. esim. huijaussivustot viranomaisten nimissä joita voi löytää hakukoneilla). Tiedot noudetaan Suomi.fipalvelutietovarannosta. Omat viestit -toiminnallisuus (Suomi.fi-viestinvälitys) mahdollistaa tietoturvallisen tiedoksiantojen toimittamisen ja vuorovaikutteisen sähköisen viestinnän julkisen hallinnon asiakkaiden kanssa. Pääsy omiin tietoihin mahdollistaa loppukäyttäjälle omien tietojen katselun eri rekistereistä. Palveluihin ohjaus mahdollistaa rekistereissä olevan tiedon korjaamisen, mikä parantaa rekistereissä olevan tiedon eheyttä, laatua ja kattavuutta. VAHTI sähköisen asioinnin tietoturvallisuus 28

Muuta tukimateriaalia Ohjeluonnos liitteineen sisältää sähköisen asiointipalvelun kehittämisen tueksi mm. Viitearkkitehtuurin Tietoturvaperiaatteita Useita tarkistuslistoja Esimerkkejä Apukysymyksiä Kontrollitavoitteita VAHTI sähköisen asioinnin tietoturvallisuus 29

Lausuntokierros Lausuntokierros käynnistymässä, arviolta 31.1.2017 asti https://www.lausuntopalvelu.fi + kirjaamojen kautta Viimeistely lausuntojen perusteella ja hyväksyntä helmimaaliskuussa 2017 Lausujilta: Pyydetään arvioimaan ohjeen soveltuvuutta uuden sähköisen asiointipalvelun kehittämiseen? Mihin kaipaisitte lisäohjeistusta tai esimerkkejä? Pyydetään arvioimaan ohjeen soveltuvuutta olemassa olevan sähköisen asiointipalvelun kehittämiseen? Mihin kaipaisitte lisäohjeistusta tai esimerkkejä? Lausuntoja, kiitos! VAHTI sähköisen asioinnin tietoturvallisuus 30

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute