Valtioneuvoston asetus

Samankaltaiset tiedostot
Luonnos LIITE 1

VALTIOVARAINMINISTERIÖ Muistio Liite 1 Lainsäädäntöneuvos Eeva Lantto

VALTIOVARAINMINISTERIÖ MUISTIO LIITE 2 Lainsäädäntöneuvos Eeva Lantto VALTIONEUVOSTON ASETUS JULKISEN HALLINNON TURVALLISUUSVERKKO- TOIMINNASTA

Valtioneuvoston asetus

Valtioneuvoston asetus

Lausunto PELASTUSLAITOSTEN KUMPPANUUSVERKOSTO Lausunto PelJ/96/01.00/2018

Laki. EDUSKUNNAN VASTAUS 191/2013 vp

Julkaistu Helsingissä 31 päivänä joulukuuta /2013 Laki. valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

Asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

VALTIOVARAINMINISTERIÖ Lainsäädäntöneuvos Hannele Kerola

Varautuminen sotelainsäädännössä

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Antti-Jussi Lankinen, Mira Karppanen Liikenne- ja viestintävaliokunta

Laki. julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta

-luonnos- VALTIONEUVOSTON ASETUS VALTION YHTEISTEN TIETO- JA VIESTINTÄTEK- NISTEN PALVELUJEN JÄRJESTÄMISESTÄ

Valtorin strategia. Hyväksytty Valtorin hallituksen kokouksessa

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

Valtorin strategia Töissä valtiolla sujuvasti ja turvatusti

laeiksi julkisen hallinnon tietohallinnon ohjauksesta

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

Tietoturvapolitiikka

l luku. Pelastustoimen järjestäminen ja palveluiden tuottaminen 3. Palvelujen kokoaminen suurempiin kokonaisuuksiin

-luonnos VALTIONEUVOSTON ASETUS VALTION YHTEISTEN TIETO- JA VIESTINTÄTEK- NISTEN PALVELUJEN JÄRJESTÄMISESTÄ

Julkaistu Helsingissä 15 päivänä kesäkuuta /2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

MAAKUNNAN VARAUTUMINEN JA ALUEELLISEN VARAUTUMISEN YHTEENSOVITTAMINEN

Vihdin kunnan tietoturvapolitiikka

Tietoturvapolitiikka

Yhteinen varautuminen alueella

Pelastuslaitosten kumppanuusverkoston lausunto valtioneuvoston asetuksesta julkisen hallinnon turvallisuusverkkotoiminnasta

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Tietojärjestelmien varautuminen

Selvitys hallintovaliokunnan HaVM 35/2014 mietinnössä ilmenevistä eri seikoista

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASETTAMINEN

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

Tietoturvapolitiikka Porvoon Kaupunki

VIRTU ja tietoturvatasot

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Turvallisuus ja varautuminen. Vesa-Pekka Tervo Pelastustoimen kehittämispäällikkö Kanta-Hämeen maakuntatilaisuus Hämeenlinna

Suunnitellut alueellisen varautumisen rakenteet - katsaus valmistelutilanteeseen. Vesa-Pekka Tervo

Varmaa ja vaivatonta viestintää kaikille Suomessa

TORI-hanke Virtun näkökulmasta. Jouko Junttila, Valtori Haka- ja Virtu-seminaari

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Kunnan järjestämisvastuu, tietohallinto ja digitalisaatio. julkisoikeuden professori, IT-oikeuden dosentti Tomi Voutilainen Itä-Suomen yliopisto

Tietoturvavastuut Tampereen yliopistossa

Turvallisuuskriittiset ICTpalvelut. tulevaisuus ja uusia mahdollisuuksia Timo Lehtimäki, toimitusjohtaja

Varmaa ja vaivatonta viestintää

TALPOL linjaukset TORI-toimenpiteet

Webinaarin sisällöt

Maakunnan ympäristöterveydenhuollon järjestäminen ja varautuminen. Teppo Heikkilä

VALTIOVARAINMINISTERIÖ Lainsäädäntöneuvos Hannele Kerola

TORI-palvelut. Palvelukarttaluonnos

Valtorin lokienhallinta- ja SIEM-ratkaisujen kilpailutus

Valtion tietojärjestelmäpalvelut ja turvallisuus

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

VISIO YHTEISKUNNAN ELINTÄRKEIDEN TOIMINTOJEN TURVAAMINEN. Väestön elinmahdollisuudet. Yhteiskunnan turvallisuus. Valtion itsenäisyys

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

TIETOTURVAPOLITIIKKA

MÄÄRÄYS SIJOITUSPALVELUYRITYKSEN RISKIENHALLINNASTA JA MUUSTA SISÄISESTÄ VALVONNASTA

Palopupu ja uusi * pelastuslaki

Valtion konesali- ja kapasiteettipalvelun merkitys valtion konesalistrategian toteuttamisessa VM/JulkICT / Tuomo Pigg

Sosiaalipalveluiden ohjauksen ja valvonnan ajankohtaispäivä kunnille ja yksityisille palvelujen tuottajille

Yhteistyösopimuksen laadinta. Itä- ja Keski-Suomen maakunnat

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Järjestäjätoiminto. Muutosjohtaja (sote järjestäminen), Harri Jokiranta Sosiaali- ja terveydenhuollon asiantuntija (sote järjestäminen), Päivi Saukko

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Julkisen hallinnon kokonaisarkkitehtuurijaoston työsuunnitelma 2013

Espoon kaupunki Tietoturvapolitiikka

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

Varautuminen yksityisessä palvelutuotannossa Valmiusseminaari

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Maakuntauudistuksen esivalmistelu Satakunnassa Ohjausryhmä Satakunnan maakuntauudistus 1

EDUSKUNNAN VASTAUS 95/2004 vp. Hallituksen esitys Euroopan Avaruusjärjestöä koskevan yleissopimuksen sopimuspuolten ja

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

Keskeiset muutokset varautumisen vastuissa 2020

VARAUTUMISSEMINAARI VARAUTUMINEN ALUEHALLINNON UUDISTUKSESSA

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Kaikki VTV:n tarkastukset liittyvät riskienhallintaan ja tukevat hyvää hallintoa

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

JUHTA asetus ja asettaminen. JUHTA Sami Kivivasara, VM JulkICT

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Laki. verkkoinfrastruktuurin yhteisrakentamisesta ja -käytöstä annetun lain muuttamisesta

YHTEISKUNNAN TURVALLISUUSSTRATEGIA - KOMMENTTIPUHEENVUORO

Valtion yhteiset infrastruktuuripalvelut. Tuomo Pigg Neuvotteleva virkamies JulkICT-toiminto

VÄESTÖREKISTERIKESKUKSEN DIGITURVAPALVELUT. Kirsi Janhunen, johtava asiantuntija, VRK

POHJOIS-POHJANMAAN MAAKUNTAUUDISTUKSEN KOKONAISVARAUTUMISEN TILANNEKATSAUS. Maakuntauudistuksen johtoryhmä

Huomioita varautumisesta ja pelastustoimesta sosiaalihuollon näkökulmasta.

Palvelusopimus. Meri-Lapin kuntapalvelut liikelaitoskuntayhtymä. Kemin kaupunki

Laki. EDUSKUNNAN VASTAUS 29/2006 vp. Hallituksen esitys laiksi ympäristövaikutusten arviointimenettelystä annetun lain muuttamisesta.

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

Espoon kaupunki Tietoturvapolitiikka

YHTEISKUNNNAN TURVALLISUUSSTRATEGIA 2010

Kertomusluonnoksesta annetut lausunnot Hallinnon turvallisuusverkkotoiminnan ohjaus (14/2016) 172/54/2015

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Laatua ja tehoa toimintaan

Henkilötietojen käsittelyn ehdot. 1. Yleistä

MAANMITTAUSLAITOKSEN LAUSUNTO HALLITUKSEN ESITYKSESTÄ LAIKSI HALLINNON YHTEISISTÄ SÄHKÖISEN ASIOINNIN TUKIPALVELUISTA

Transkriptio:

Valtioneuvoston asetus julkisen hallinnon turvallisuusverkkotoiminnasta Valtioneuvoston päätöksen mukaisesti säädetään julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015) nojalla: 1 Määritelmät Tässä asetuksessa tarkoitetaan: 1) palvelutuottajalla julkisen hallinnon turvallisuusverkkotoiminnasta annetun lain (10/2015), jäljempänä turvallisuusverkkolaki, 6, 8 ja 10 :ssä tarkoitettuja palvelujen tuottajia niiden tuottaessa turvallisuusverkon palveluja; 2) turvallisuusverkon palvelulla palvelutuottajan tuottamaa, 2, 3 ja 5 :ssä tarkoitettua palvelua; 3) käyttäjällä turvallisuusverkkolain 3 ja 4 :ssä tarkoitettuun käyttäjäryhmään kuuluvaa viranomaista tai muuta yhteisöä silloin kun se hoitaa turvallisuusverkkolain 2 :n 1 momentissa tarkoitettuun toimintaan liittyviä tehtäviä. 2 Verkko- ja infrastruktuuripalvelujen tuottajan palvelut Turvallisuusverkkolain 7 :n 1 momentin 1 kohdassa tarkoitettuja verkkopalveluja ovat: 1) turvallisuusverkon runkoverkkopalvelu; 2) fyysisen liityntäpalvelun tarjoaminen turvallisuusverkon runkoverkkoon. Turvallisuusverkkolain 7 :n 1 momentin 2 kohdassa tarkoitettuja infrastruktuuripalveluja ovat laitetilojen sekä laite- ja antennipaikkojen tarjoaminen käyttäjille ja palvelutuottajille. 3 Tieto- ja viestintäteknisten palvelujen tuottajan tehtävät ja palvelut Turvallisuusverkkolain 9 :n 1 momentin 1 kohdassa tarkoitettuja yhteisiä tieto- ja viestintäteknisiä palveluja ovat: 1) päätelaite- ja käyttäjätukipalvelut; 2) viestintätekniset palvelut; 3) muut kuin 2 :ssä tarkoitetut tietoliikennepalvelut ja niihin liittyvät tietoturvapalvelut; 4) konesali- ja kapasiteettipalvelut; 5) integraatio- ja sanomanvälityspalvelut; 6) käyttäjien ja palvelutuottajien tilannetietoisuutta, johtamista tai viestinnän häiriöttömyyttä ja jatkuvuutta sekä tietoturvallisuudesta huolehtimista tukevat yhteiset tietojärjestelmäpalvelut; 7) 1 6 kohdassa mainittuihin palveluihin liittyvät omaisuudenhallintapalvelut. Lisäksi tieto- ja viestintäteknisten palvelujen tuottaja voi tuottaa turvallisuusverkkolain 5 :n 3 momentissa tarkoitettujen, turvallisuusverkon laitetiloihin sijoitettujen laitteiden ja tietojärjestelmien käyttöä tukevia palveluja.

4 Integraatiopalvelujen tuottajan tehtävät Integraatiopalvelujen tuottajan tehtävänä on: 1) muodostaa turvallisuusverkon palvelukokonaisuudet; 2) vastata turvallisuusverkon palvelukokonaisuuksien tarjoamiseen liittyvästä sopimus- ja asiakkuudenhallinnasta; 3) järjestää turvallisuusverkon palvelujen yhdistäminen käyttäjien tieto- ja viestintäteknisiin palveluihin; 4) koordinoida turvallisuusverkon palvelukokonaisuuksien muutoksenhallintaa, häiriötilannehallintaa ja tietoturvauhkilta suojautumista palvelutuottajien välillä ja tiedottaa niistä käyttäjiä; 5) koota turvallisuusverkon palvelukokonaisuuksien ohjaamiseen, kehittämiseen ja ylläpitämiseen tarvittavia tilannetietoja ja välittää niitä valtiovarainministeriölle ja käyttäjille. 5 Muut palvelutuottajien tehtävät ja palvelut Palvelutuottaja voi tuottaa 2 4 :ssä tarkoitettuihin palveluihin ja tehtäviin liittyviä asennuspalveluja sekä projekti- ja asiantuntijapalveluja turvallisuusverkon käyttäjille ja muille palvelutuottajille. 6 Turvallisuusverkon palvelujen laatu, toimivuus, tietoturvallisuus, kustannustehokkuus ja tilannekuva Palvelutuottajan on huolehdittava tuottamansa turvallisuusverkon palvelun sekä hoitamiensa turvallisuusverkkoon liittyvien tehtävien laadusta ja kustannustehokkuudesta. Palvelutuottajan on erityisesti huolehdittava: 1) palvelujensa toimivuuden ja tietoturvallisuuden ympärivuorokautisesta valvonnasta; 2) palvelun toimivuutta tai tietoturvallisuutta häiritsevien tai uhkaavien tilanteiden havaitsemisesta, selvittämisestä ja raportoinnista. Palvelutuottajan on laadittava palveluistaan palveluluettelo, palvelukuvaukset ja hinnasto sekä ylläpidettävä niitä. Palvelutuottajan on laadittava normaalioloihin, niiden häiriötilanteisiin ja poikkeusoloihin menettelyohjeet ja ylläpidettävä niitä palvelujen toimivuutta ja turvallisuutta häiritsevien tai uhkaavien tilanteiden selvittämiseksi sekä niiden vaikutusten minimoimiseksi ja poistamiseksi ilman aiheetonta viivytystä. Palvelutuottajan on ylläpidettävä 1 momentissa säädettyihin tehtäviin liittyvää tilannetietoisuutta ja välitettävä tilannetietoja integraatiopalvelujen tuottajalle ja erikseen sovitulla tavalla käyttäjälle. Palvelutuottajien on turvallisuusverkon palveluja tuottaessaan ja tässä pykälässä tarkoitettuja tehtäviä hoitaessaan tehtävä yhteistyötä keskenään ja käyttäjien kanssa sekä sovittava palvelutuotantonsa yhteensovittamisesta normaalioloissa, niiden häiriötilanteissa sekä poikkeusoloissa Ṗalvelutuottajan on pidettävä yllä tietoja turvallisuusverkon palvelujen tuottamiseen liittyvistä sopimuksista ja alihankkijoista.

7 Laitetilojen käyttö Sen lisäksi, mitä turvallisuusverkkolain 5 :n 3 momentissa säädetään, palvelutuottajan turvallisuusverkon palvelujen tuottamiseen käyttämiin laitetiloihin voidaan valtiovarainministeriön päätöksellä sijoittaa valtion ylimmän johdon ja yhteiskunnan turvallisuuden kannalta tärkeiden viranomaisten ja muiden toimijoiden yhteistoiminnassa käytettäviä laitteita ja tietojärjestelmiä, jos toiminnassa on noudatettava korkean varautumisen tai turvallisuuden vaatimuksia. 8 Varautuminen Turvallisuusverkon palvelujen jatkuvuuden turvaamiseksi normaalioloissa, niiden häiriötilanteissa sekä poikkeusoloissa, palvelutuottajan on korkeaa varautumista ja turvallisuutta koskevien vaatimusten edellyttämässä laajuudessa, tarvittaessa yhteistyössä muiden palvelutuottajien ja käyttäjien kanssa: 1) vastuutettava johtaminen organisaation eri tasoilla ja varmistettava palvelutuotannon jatkuva johtamisvalmius; 2) suunniteltava ja järjestettävä palvelutuotanto ottaen huomioon erityisesti päivittäisen operatiivisen toiminnan jatkuvuus ja häiriöttömyys sekä normaali- ja poikkeusolojen uhkatekijät; 3) varmistettava yhteistyön jatkuminen alihankkijoiden kanssa; 4) varmistettava erityisesti tietoliikenteen toimivuus, tiedon, palvelujen, ylläpidon ja osaamisen saatavuus ja toiminta Suomen lainsäädännön alaisuudessa poikkeusolot huomioon ottaen; 5) varmistettava tehtäviensä hoitamisen kannalta tarvittavat resurssit; 6) huolehdittava henkilöstön koulutuksesta sekä häiriötilanneharjoittelusta. 9 Tietoturvallisuusvaatimukset Turvallisuusverkon palvelut on tuotettava ja kehitettävä siten, että on palvelukohtaisesti mahdollista täyttää tietoturvallisuudesta valtionhallinnossa annetun asetuksen (681/2010) 9 :n mukaisten suojaustasojen II, III tai IV tietoturvallisuusvaatimukset sekä kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitetut erityissuojattaville tietoaineistoille asetetut tietoturvallisuusvaatimukset. 10 Tietoturvallisuus- ja varautumisvaatimusten arviointiperusteet ja niiden täyttymisen toteaminen Turvallisuusverkon palveluja koskevien tietoturvallisuus- ja varautumisvaatimusten täyttymisen toteamisessa käytetään arviointiperusteina tätä asetusta ja valtiovarainministeriön turvallisuusverkkolain 14 :n 4 momentin nojalla antamia määräyksiä. Turvallisuusverkon palvelujen tietoturvallisuus- ja varautumisvaatimusten täyttyminen on arvioitava ja todettava noudattaen viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen

tietoturvallisuuden arvioinnista annettua lakia (1406/2011) ja kansainvälisistä tietoturvallisuusvelvoitteista annettua lakia. Palvelutuottaja vastaa, että sen palvelutuotannossa olevat turvallisuusverkon palvelut sekä niiden tuottamiseen käytettävät tietojärjestelmät ja laitteet täyttävät 8 ja 9 :ssä asetut vaatimukset koko niiden elinkaaren ajan myös silloin kun se käyttää turvallisuusverkon palvelun tuottamiseen alihankkijaa. 11 Turvallisuusverkon palvelujen käyttö Valtiovarainministeriö hyväksyy 2, 3 ja 5 :ssä tarkoitetut turvallisuusverkon palvelut käyttöönotettavaksi. Hyväksymisen edellytyksenä on, että palvelujen voidaan 10 :n mukaisesti todeta täyttävän 8 ja 9 :n mukaiset vaatimukset siinä määrin, ettei käyttöönottamisella vaaranneta turvallisuusverkkolain tarkoituksen toteutumista ja on ilmeistä, että vaatimukset tulevat täyttymään hyväksymisen yhteydessä määriteltyyn ajankohtaan mennessä. Ennen käyttäjän tietojärjestelmän tai tieto- ja viestintäteknisen palvelun liittämistä turvallisuusverkkoon palvelutuottajan on varmistettava, että liitettävän tietojärjestelmän ja tieto- ja viestintäteknisen palvelun liityntäratkaisu täyttää turvallisuusverkon turvallisuustason ylläpitämisen kannalta riittävät tietoturvallisuutta koskevat vaatimukset, ja hankittava liittämiselle valtiovarainministeriön hyväksyntä. 12 Turvallisuusverkkotoiminnan neuvottelukunnan tehtävät Valtiovarainministeriön on kuultava turvallisuusverkkotoiminnan neuvottelukuntaa ainakin ennen seuraavia asioita koskevien määräysten, päätösten tai suositusten antamista: 1) turvallisuusverkkotoiminnan strategiset tavoitteet ja rahoitus sekä palvelutuottajien perimät maksut; 2) palvelutuottajia koskevat palvelun laatu-, turvallisuus-, valmius-, varautumis- ja jatkuvuusvaatimukset; 3) turvallisuusverkon palvelutuotannon järjestäminen ja sen kehittäminen; 4) turvallisuusverkon palvelujen varautumisen ja turvallisuuden järjestäminen ja ylläpito; 5) uuden turvallisuusverkkolain 4 :n 1 momentissa tarkoitetun turvallisuusverkon käyttäjän hyväksyminen; 6) 11 :n 1 momentissa tarkoitettu turvallisuusverkon palvelun käyttöönottoon hyväksyminen; 7) 11 :n 2 momentissa tarkoitettu käyttäjän tietojärjestelmän tai tieto- ja viestintäteknisen palvelun liittäminen; 8) turvallisuusverkon laitetilojen ja laitteiden sijoittaminen; 9) 7 :ssä tarkoitettu laitetilojen käyttö; 10) palvelutuottajan alihankinnan laajuus ja alihankinnan käytön edellytykset; 11) turvallisuusverkon palvelujen tuotannon ja käytön ensisijaisuus-, kiireellisyys- ja muu tärkeysmäärittely ellei asian kiireellisyys edellytä välittömiä toimenpiteitä.

13 Voimaantulo Tämä asetus tulee voimaan 15 päivänä syyskuuta 2015. Helsingissä 27 päivänä elokuuta 2015 Kunta- ja uudistusministeri Anu Vehviläinen Lainsäädäntöneuvos Eeva Lantto