Tietoturva Kehityksen este vai varmistaja?



Samankaltaiset tiedostot
Valtion ICT

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Julkisen hallinnon ICT. Hallinnon kehittämisosasto

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Sähköi sen pal l tietototurvatason arviointi

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Tietoturvapolitiikka

TIETOTURVAA TOTEUTTAMASSA

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

VIRTU ja tietoturvatasot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Laatua ja tehoa toimintaan

Lapin yliopiston tietoturvapolitiikka

TIETOSUOJA-ASIAT - TURVALLISESTI NETISSÄ

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TOIMINTASUUNNITELMA VUOSILLE

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

TIETOTURVAPOLITIIKKA

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

ICT kehitysnäkymät. Pelastustoimen ajankohtaispäivät Ylitarkastaja Teemu Luukko

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Tietoturva ja viestintä

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Lapinlahden kunnan hallinnon tietoturvasuunnitelma

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Valtion IT-palvelukeskuksen perustaminen: 69 päivää. Yliopistojen IT päivät / Lasse Skog

Tietoturvapolitiikan käsittely / muutokset:

Johdon tietoturvaopas

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

T Yritysturvallisuuden

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

TIETOTURVA JA TIETOSUOJAPOLITIIKKA

Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Pilvipalveluiden arvioinnin haasteet

Tietoturvapäivä

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Tietosuoja Copyright (c) 2005 ACE LAW Offices

Kunnanvaltuusto: Kunnanhallitus: Pyhännän kunnan tietoturvapolitiikka

T Henkilöturvallisuus ja fyysinen turvallisuus, k-04

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

OPAS JULKISHALLINNON TIETOTURVAKOULUTUKSEN JÄRJESTÄMISESTÄ

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Vihdin kunnan tietoturvapolitiikka

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Sovelto Oyj JULKINEN

Tietoturvallisuuden johtaminen

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Tietojärjestelmien varautuminen

Organisaation turvallisuusvelvoitteet - Mitä lainsäädäntö ja sopimukset edellyttävät?

OULAISTEN KAUPUNKI. Oulaisten kaupungin tietoturvapolitiikka

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Katsaus tieto- ja kyberturvallisuuden tilanteeseen. Aku Hilve JUHTA

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

Tietoturvapolitiikka

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Tietoturvaa verkkotunnusvälittäjille

Seinäjoen kaupungin tietoturvapolitiikka. Kh , 149

Tietoturvapolitiikka

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

KanTa. Kelan KanTa-palvelujen tietoturvapolitiikka. v. 1.1

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Virtu tietoturvallisuus. Virtu seminaari

SÄHKÖISET JA LAINSÄÄDÄNTÖ

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

Kansallinen kyberturvallisuusharjoitus miten harjoitus tekee mestarin?

Muutos. Nopea, jatkuva, kiihtyvä ja pysähtymätön

Viestintäviraston tietoturvapolitiikka

LUONNOS Esitelty Kaupungin johtoryhmälle Järvenpään kaupungin TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Kaakon SOTE-INTO hanke / Matkanhallintajärjestelmä. Tarjous 88/2010. Liite 7: Western Systems Oy:n tietoturvaohje

Espoon kaupunkikonsernin tietoturvapolitiikka

Tietoturvallisuuden ja tietoturvaammattilaisen

Kohti turvallista hoitoa prosessien riskien hallinnalla. Petri Pommelin kehittämispäällikkö PSHP

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

T Henkilöstöturvallisuus ja fyysinen turvallisuus, k-04

Tietoturvallisuus hallinnon sähköisissä palveluissa

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

TIETOTURVATEKNOLOGIAN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Voiko valtionhallinnon tietojärjestelmien nykytilaa kuvata? Aki Siponen Valtiovarainministeriö

Espoon kaupunki Tietoturvapolitiikka

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

HEINÄVEDEN KUNNAN TIETOTURVAPOLITIIKKA

Transkriptio:

Tietoturva Kehityksen este vai varmistaja? Valtion IT-johtaja Yrjö Benson 11.2.2010

Tietoturvan rakenne VAHTI Ulkokerros Hallinnollinen tietoturva Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Sisempi kerros Ohjelmistoturvallisuus Tietoaineistoturvallisuus Käyttöturvallisuus Laitteistoturvallisuus YLEINEN TIETOTURVALLISUUS 1. Saatavuus tai käytettävyys (availability) Tieto on saatavilla, kun sitä tarvitaan 2. Luottamuksellisuus (confidentiality) Tietoa voivat käsitellä vain sellaiset henkilöt, joilla on siihen oikeus 3. Eheys (integrity) Tieto ei saa muuttua tahatta tai hyökkäyksessä, tai muutos pitää ainakin havaita; toisinaan eheys määritellään myös tietojen loogisuudeksi (ns. sisäinen eheys) ja paikkansapitävyydeksi (ns. ulkoinen eheys) Kiistämättömyys Henkilö ei voi menestyksellisesti kiistää tekoa, jonka hän on tehnyt. Kiistämättömyys riippuu viime kädessä siitä, mitä oikeudessa hyväksytään näytöksi. Tunnistus Henkilö (tietojärjestelmän käyttäjä) voidaan tarvittaessa liittää käyttäjätunnukseen (joka voi olla anonyymi) Todennus Henkilö (tietojärjestelmän käyttäjä) voidaan luottavasti tunnistaa luonnolliseksi tai oikeushenkilöksi 2

Tietoturvan perusprosessi 1. Riskianalyysi 2. Tietoturvatasot 3. Ohjeet ja määräykset 4. Seuranta ja raportointi 5. Toimenpiteet 6. Palaute seuraavalle kierrokselle 3

Tietoturvan mitoitus Tietoturva on Liian lepsu Oikein mitoitettu Liian kireä Taloudellinen vaikutus Tietoturvavahinkojen paikkailu voi maksaa todella paljon Oikea ja turvallinen tieto on tärkeä tuotannontekijä Järjestelmistä tulee liian kalliita Toiminnallinen vaikutus Laillisuus, turvallisuus, tuotekehitys ja/tai imago kärsivät Tietoa jaetaan ja tieto kulkee oikein ja turvallisesti Kankeat prosessit Johtaminen ja operatiivinen toiminta kärsivät 4

VAHTI Suomen kattavin julkinen tietoturvaohjeisto 1. Hallinnollinen tietoturvallisuus 2. Henkilöstöturvallisuus Yleisohje, 3/2007 ja 5/2009 ICT-toiminnan varautuminen 2/2009 Kansainvälinen yhteistyö, 1/2007 Tietoturvakoulutus, 11/2006 ja 6/2008 Henkilöstön tietoturvaohje, 10/2006, 4/2009 Tietoturvallisuuden mittaus 6/2006 Tietoturva-arvioinnit, 8/2006 Jaetut tietoturvaresurssit, 3/2006 Kehittämisohjelma, 1/2004 Tulosohjaus, 2/2004, 4/2004, 1/2005 Tietoriskien arviointi, 7/2003 Hallintajärjestelmän arviointi, 3/2003 Tietoturvasanasto, 8/2008 RISKIENHALLINTA JATKUVUUS 4-6. Tietoliikenne-, laitteisto-, ohjelmistoturvallisuus Kohdistetut hyökkäykset 6/2009 Älypuhelimet 2/2007 Roskapostien vastaiset toimet, 2006 Mobiliteetin tietoturvariskit, 2006 Haittaohjelmilta suojautuminen, 3/2004 Etäkäyttö turvattomista verkoista, 2/2003 Internet-tietoturvallisuusohje, 1/2003 Etätyön tietoturvaohje, 3/2002 Tietotekniikkahankinnat, 6/2001 Lähiverkot, 2/2001 Tietojärjestelmäkehitys, 3/2000 Hankkeen tietoturvaohje 9/2008 Henkilöstöturvallisuus, 2/2008 3. Fyysinen turvallisuus Laitetilat, 1/2002 TIETOTURVAKULTTUURI LAATU 9. Ulkoistaminen ja sopimukset Muutos ja tietoturvallisuus, 7/2006 IT hankintojen tarkistuslista, 6/2001 8. Käyttöturvallisuus Lokiohje 3/2009 Tunnistaminen, 12/2006 Käyttövaltuudet, 9/2006 Ympärivuorokautinen tietoturva 4/2006 Tietoturvapoikkeamien hallinta, 3/2005 Keskeisten tietojärjestelmät, 5/2004 7. Tietoaineistoturvallisuus Salauskäytännöt, 3/2008 Asianhallinta, 5/2006 Sähköpostien käsittely, 2/2005, 2/2006 Arkaluonteiset kansainväliset aineistot, 4/2002 Sähköisten palveluiden ja asioinnin tietoturva, 4/2001 Turvaluokitteluohje, 19.1.2000 Tietoaineistojen käsittelyohje, 2/2000 Lokien käsittelyohje, 3/2009 5

Tietoturvaongelmien yleisyys valtionhallinnossa P rosenttia valtion organisaatioista 45 40 35 30 25 20 15 10 5 0 2002 2003 2004 2005 2006 2007 2008 2009 VM/VAHTI/MK Haittaohjelmat estäneet järjestelmien käyttöä Havaittu erityistoimia vaativia hyökkäyksiä Havaittu kohdistettuja hyökkäyksiä 6

Valtioneuvoston periaatepäätös Ohjataan valtionhallintoa kehittämään tietoturvallisuutta tärkeänä osana johtamista, osaamista, riskienhallintaa sekä hallinnon kehittämistä ja toimintaa. Hyväksytty 26.11.09. Tuli voimaan 1.12.2009 Kehittämisen painopisteet johtaminen kokonaisvaltaisuus ja läpäisy ennaltaehkäisy ja varautuminen tiedon ja sen arvon suojaaminen Valmistellaan valtionhallinnon tietoturvallisuuden kehittämisohjelma vuosille 2010-2015. 7

Tietoturvavelvoitteita sisältävää lainsäädäntöä perustuslaki (731/1999) henkilötietolaki (523/1999) laki viranomaistoiminnan julkisuudesta (621/1999) laki sähköisestä asioinnista hallinnossa (13/2003) laki sähköisistä allekirjoituksista (14/2003) laki yksityisyyden suojasta työelämässä (759/2004) valtioneuvoston ohjesääntö (huhtikuu 2003) arkistolaki (831/1994) asetus valtion talousarviosta (1243/1992) väestötietolain muutos (527/1999) viestintämarkkinalaki (393/2003) valtion virkamieslaki (750/1994) rikoslaki ja laki rikoslain muuttamisesta (769/1990, 578/1995, 951/1999) valmiuslaki (1080/1991) laki turvallisuusselvityksistä (177/2002) Sähköisen viestinnän tietosuojalaki (516/2004) Laki kansainvälisistä tietoturvavelvoitteista (588/2004) 8

ICT tavoitteet Kustannukset alenevat ja kansalaisille näkyvä palvelu paranee Yhtenäinen perustietokanta Yksi tieto on yhdessä paikassa yhden kerran, josta kaikki sitä tarvitsevat järjestelmät käyvät tiedon lukemassa sitä tarvitessaan. Tietoturvallisuus on varmistettu. Tiedon saanti on helppoa kansalaisille, organisaatioille ja virkamiehille. Yhteiset peruspalvelut Samanlaisena tai lähes samanlaisena tarvittavat peruspalvelut ja perusjärjestelmät tuotetaan kustannustehokkaasti keskitetysti. Kriteerit: Edullisuus, helppokäyttöisyys ja korkea integraatioaste. Virkamiehille kattava virkamiehen työkalupakki, kansalaisille kansalaisen kotisivu Kansainvälinen yhteistoiminta Parhaita käytäntöjä muista maista haetaan aktiivisesti ja käytetään viisaasti. Osallistutaan kansainvälisiin Suomea hyödyttäviin hankkeisiin EU:ssa ja YK:ssa. Mitataan Suomen JulkIT:n tehokkuutta kansainvälisissä vertailuissa ja päästään parhaaseen desiiliin. Elinkaarimalli otetaan käyttöön hankkeissa ja palveluhallinnassa Elinkaarisuunnitelmassa erityisen suuri paino on käyttöönottosuunnitelmalla ja koko elinkaaren mittaisella kustannus-hyötylaskelmalla. 9

Julkishallinnon ICT menestystarinoita Veroehdotus Veroilmoitusta ei sähköistetty, vaan koko prosessi poistettiin Hallinnon kuorman vähennys kansalaisille Paljon pienempi työ verotoimistoissa Virkatodistuksettomuus Virkatodistusta ei sähköistetty, vaan koko lomake poistettiin Viranomaiset saavat ja jakavat perustiedot keskenään taustalla Meritilannekuva Useat eri viranomaiset useasta eri maasta tuottavat ja jakavat reaaliaikaista meritilannekuvaa Suomenlahdella ja Itämerellä Ainutlaatuinen kansainvälinen menestystarina Poliisit social mediassa 3 täyspäiväistä IRC-galleria poliisimiestä: fobba, mane ja jutta yli 35 000 fania Facebookissa 10

Kiitos! www.valtit.fi http://www.vm.fi/vm/fi/13_hallinnon_kehittaminen/09_tietoturvallisuu s/02_tietoturvaohjeet_ja_maaraykset/index.jsp 11

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute