Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Samankaltaiset tiedostot
Tietoturvapolitiikat. Riitta Mäkinen. Extended Abstract. Helsinki HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

Tietoturvallisuuden ja tietoturvaammattilaisen

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Tietoturvapäivä

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

TIETOTURVAPOLITIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturva Kehityksen este vai varmistaja?

Tietoturvapolitiikan käsittely / muutokset:

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques

GDPR-projektien ja johtoryhmien kuulumisia GDPR-päivä / Helsinki EU General Data Protection Regulation (GDPR) Juha Sallinen / GDPR Tech

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

KLKH97 ICT-asiantuntijapalvelut

VIRTU ja tietoturvatasot

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Eläketurvakeskuksen tietosuojapolitiikka

Tietoturvaa verkkotunnusvälittäjille

Viestintäviraston tietoturvapolitiikka

Enterprise Architecture TJTSE Yrityksen kokonaisarkkitehtuuri

Tietoturvallisuus - haaste tiedonhallinnassa

Kyberturvallisuus kiinteistöautomaatiossa

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Puolustusvoimien laadunvarmistuspäivät

Agora Center - Monitieteiset projektit

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Kasva tietoturvallisena yrityksenä

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Vihdin kunnan tietoturvapolitiikka

TietoEnator Pilot. Ari Hirvonen. TietoEnator Oyj. Senior Consultant, Ph. D. (Economics) presentation TietoEnator 2003 Page 1

KLKH97 ICT-asiantuntijapalvelut

Riskienhallinta ja turvallisuus FORUM 2012

TIETOTURVALLISUUDEN HALLINTAJÄRJESTELMÄN LUOMINEN PK- YRITYKSISSÄ

Rakentamisen 3D-mallit hyötykäyttöön

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Tutkimus web-palveluista (1996)

Sofia Wilson

TIETOSUOJATYÖN ORGANISOINTI

VALVO JA VARAUDU PAHIMPAAN

Tietoturvapäivä

ESPOON KAUPUNGIN TIETOTURVAPOLITIIKKA

Takki. Lisää ot sik k o osoit t am alla. Nyt se sopii, tai sitten ei. Jussi Vänskä Espotel Oy. vierailuluentosarja OTM kurssi

Sovellustietoturvallisuus Petteri Arola OWASP Chapter Leader Nixu Oy OWASP The OWASP Foundation

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Seminaariaiheet. Tietoturvaseminaari, kevät 03 Lea Viljanen, Timo Karvi

Yritysturvallisuuden perusteet

Monitoimittajaympäristö ja SIAM, haasteet eri toimijoiden näkökulmasta

Tietoturva-alan ammattien vaatimukset

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Pilvipalvelujen tietoturvasta

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET ALKAEN

KOHDERYHMÄ 4 LAATUPISTEIDEN PERUSTELUT. Ryhmittymä Atrain / BDO Consulting Oy 0,375

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Tietoturvallisuus yhteiskunnan, yritysten ja yksityishenkilöiden kannalta

Tietoturvapolitiikka. Hattulan kunta

TeliaSonera Identity and Access Management

Ehdotusten vaikutukset EU:n kilpailuasemaan luotettavien digitaalisten sisämarkkinoiden kehityksessä

SR307 Tietoturvatekniikat ISO/IEC JTC 1/SC 27 IT Security Techniques. Tietoturvallisuuden hallinta ISO/IEC Reijo Savola Johtava tutkija VTT

Vesihuolto päivät #vesihuolto2018

Diplomityöseminaari

Sopimusoikeus ja tietotekniikka. IT-sopimukset. Sopimuksesta yleistä. Mitä ovat IT-sopimukset. Suomessa yleiset sopimusehdot: IT2000

Case: Ydinvoimalan käyttöautomaation allianssi

Yritysturvallisuuden perusteet

Tietoturvapolitiikka

PERUSTELUMUISTIO. Seuraavat tarjoajat suljetaan tarjouskilpailusta seuraavilla perusteilla:

Jämsän kaupungin tietoturvapolitiikka

Sopimuksen tietoturvaliite

Pahin tietoturvauhka istuu vieressäsi Tietoturvatietoisuuden kehittämisestä vauhtia tietoriskien hallintaan

Verkottunut suunnittelu

Forte Netservices Oy. Forte Client Security Services

Espoon kaupunkikonsernin tietoturvapolitiikka

Tietohallinnon arvo liiketoiminnalle

KESKI-POHJANMAAN IT-ALUEKESKUS. KPA:n TIETOTURVAPOLITIIKKA 2012 ja tietoturvamääräykset

Älykkäämpi päätelaitteiden hallinta Juha Tujula, CTO, Enfo Oyj IBM Corporation

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

PUUMALAN KUNNAN TIETOTURVAPOLITIIKKA

Määräys. 1 Soveltamisala

Laatua ja tehoa toimintaan

Moderni käyttäjähallinta oppilaitosympäristössä. Korkeakoulujen IT-päivät Petri Karppinen

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

TIETOTURVAA TOTEUTTAMASSA

Yritysturvallisuuden perusteet

Tietoturvakonsulttina työskentely KPMG:llä

KADA (Drupal 7) migraatio uuteen (versioon) webiin

Espoon kaupunki Tietoturvapolitiikka

Tietoturvallisuuden johtaminen

Transkriptio:

Järjestelmätoimitusprosessin tietoturva 30.9.2009 Mikko Jylhä mikko.jylha@deloitte.fi

Esityksen rakenne Puhujan esittäytyminen 3 min A) Toimitussisällöstä sopiminen tietoturvanäkökulmasta 15 min B) Toimitusprosessiin liittyvät tietoturvanäkökulmat 15 min Keskustelu 5 min A) B)

Toimitussisällöstä sopiminen tietoturvanäkökulmasta 4 2009 Deloitte & Touche Oy, Group of Companies

Nykytila Tällä hetkellä tietoturvaan liittyvät asiat sovitaan liian myöhään järjestelmä-toimitusprosessissa Asioista aletaan keskustella vasta, kun ollaan jo pitkällä toimitusprosessin puolella Ongelmia: Järjestelmätoimittaja törmää tilaajan erilaiseen kulttuuriin Politiikat, ohjeistukset, käytännöt, prosessit, ohjeet ovat ristiriidassa ja / tai niitä ei ole kommunikoitu Tilarajoitteet, verkkorajoitteet, palomuurit jne. Tavoite on kuitenkin saada järjestelmä turvallisesti toimitettua! 5 2009 Deloitte & Touche Oy, Group of Companies

Nykytila vs.

Tahtotila Tietoturvaan liittyvät asiat pitää saada aikaisemmassa vaiheessa mukaan Sisältää toimittajan ja tilaajan välisen sovittamisen: Vastuiden kirjaaminen ja aikataulutus Johdon tuki Tilaajan ja toimittajan johto sopii Valtuutus ja delegointi Sopimukset Tietoturvapolitiikkojen, ohjeiden, käytäntöjen, prosessien soveltaminen / sovittaminen toimituksessa Varsinaiset tekijät samaan pöytään IT-infra ja sinne hallittu tuleminen Esim. Hallintakäytännöt Sopimusasiat, vastuut ja kustannusten jako A ccess M anagem ent A ccess M anagem ent A ccess M anagem ent A ccess M anagem ent A ccess M anagem ent Supervision & O v ersight Organization & Process Data Ownership Inputs/ O utputs/ Interfaces Ap plicatio ns Data Ownership Logging & Monitoring Databases & App. Services Encryption Encryption Digital Signatures Operating System s Digital Signatures Netw ork Digital Signatures Balancing & Reconciliations Change Management Policies & Param eters W ireless Security Processing & Reporting Processing & Reporting Network Security Architecture Network Security Architecture Network Security Architecture 7 2009 Deloitte & Touche Oy, Group of Companies

Toimitusprosessiin liittyvät tietoturvanäkökulmast 8 2009 Deloitte & Touche Oy, Group of Companies

Peruspalikoita toimitusprosessin tietoturvaan liittyen Jo myynti/ostovaiheessa tehdyt sopimukset ja työnjaot toimivat pohjana Toimitettavaan järjestelmään ja toimitusprosessiin kohdistetaan riskikartoitus Riskipohjaisesti määritetään tilaajan vaatimusten pohjalta haluttu tietoturvataso Mikä on arvokasta? Mikä on kriittistä? Mikä ei saa joutua kilpailijalle? Mikä ei saa joutua medialle? Mikä ei saa joutua 10

Tietoturvallisuuden organisointi Toimitusprojektille sovitaan tilaajan ja toimittajan kanssa alkuvaiheessa nimetty tietoturvaorganisaatio ja vastuut Jonkun pitää johtaa myös tietoturvallisuuden toteutuminen järjestelmätoimitusprosessin aikana Hanke-/projektiorganisointi toimitusprosessissa Oma polku tietoturvalle Osallistuttava hanke/projektijohdon kokouksiin Haasteena kommunikointi kaikkien tarvittavien tahojen kanssa Tietoturvallisuus sinänsä ei ole rakettitiedettä 11

Tietoturvallisuuden osa-alueet, joihin pitää ottaa ainakin kantaa Tilaturvallisuus Kulunvalvonta? Seuranta? Tilasuojaus? Henkilöstöturvallisuus Taustaselvitykset? Tietoaineistoturvallisuus Tiedon luokittelu? Käsittelysäännöt ja ohjeet? Tiedon elinkaari Ohjelmistoturvallisuus Opensource? Closed Source? Code review? Tietoliikenneturvallisuus ja Laitteistoturvallisuus Valtavasti kohtia 12

Tiedon vuotaminen varaudu siihen Kouluta oma ja vieras henkilökunta Prosessit, toimintaohjeet jne. Kuten edellä, riskipohjaisesti kartoita kriittiset tietovuodon paikat Luokittele tieto Huolehdi peruskontrolleista luottamuksellisuus, eheys, saatavuus Hyödynnä teknologiaa turvaamaan tietoa Varaudu tietovuotoon Prosessi tilanteen varalle. Mille taholle tieto vuosi, miten toimitaan, kuka toimii, jne. (Information Security Forum & muut)

Pääasiat, jotka pitää muistaa Tietoturvaan liittyvät asiat pitää saada aikaisemmassa vaiheessa mukaan Jo osto/myyntivaiheessa Toimitusprosessin aikainen tietoturvallisuuden taso pitää mitoittaa riskiperustaisesti hallitulle ja halutulle tasolle Tietoturvallisuutta myös pitää johtaa järjestelmähankinnassa ja toimituksessa 14

15 2009 Deloitte & Touche Oy, Group of Companies

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute