Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Samankaltaiset tiedostot
Asiakaspäivät 2018 Turvallisuus- ja riskienhallinta ohjelmalinjan avaus. Marko Ruotsala

Lääketieteellisen tekniikan ja taloautomaation suojaaminen digitalisoituvassa toimintaympäristössä Istekki Asiakaspäivät 2018

Case VRK: tietosuojan työkirjat. JUDO Työpaja #2 - tietosuoja Noora Kallio

Digital by Default varautumisessa huomioitavaa

Lääkinnällisten ja taloteknisten tietoverkkojen eriyttäminen Sairaalatekniikan päivät Hämeenlinnassa

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Miten tietosuoja-asetusta toteutetaan Valtorin tuottamissa palveluissa. Aapo Immonen, Valtori

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Henkilöstön ohjeistaminen JUDO-työpaja Juho Nurmi, tietosuojavastaava, Espoon kaupunki

EU:N TIETOSUOJA-ASETUKSET WALMU

Standardit tietoturvan arviointimenetelmät

Sosiaali-ja terveydenhuollon tietojärjestelmä UNA-hanke

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

OPAS VIISI ASKELTA HYVIIN YÖUNIIN GDPR-AIKAKAUDELLA. ICT- ja tulostusratkaisujen asiantuntija.

EU:n yleinen tietosuoja-asetus ja henkilötiedot opintoasioissa General Data Protection Regulation (GDPR) (EU) 2016/679

HAVAINTOJA PARHAISTA KÄYTÄNNÖISTÄ. Harri Vilander, Nixu Oy

TIETOTURVAA TOTEUTTAMASSA

EU:n tietosuoja-asetuksen vaikutukset. Tietosuojavastaava Outi Salmela,

VALVO JA VARAUDU PAHIMPAAN

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

TARTTIS TEHDÄ JOTAKIN! Juha-Matti Heljaste F-Secure Oyj

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Vihdin kunnan tietoturvapolitiikka

Turvallisen sovelluskehityksen käsikirja. Antti Vähä-Sipilä, F-Secure

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

Istekki Oy:n turvallisuus- ja riskienhallintapäivät Jyväskylässä

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Tietoturvakonsulttina työskentely KPMG:llä

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

DLP ratkaisut vs. työelämän tietosuoja

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Vesihuolto päivät #vesihuolto2018

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Kokemuksia ja näkemyksiä tietosuojaasetuksen

GDPR Tietosuoja-asetus

Pilvipalvelut ja henkilötiedot

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Tietoturvapolitiikka

VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN

Espoon kaupunkikonsernin tietoturvapolitiikka

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

ONION-HANKKEEN TAVOITTEET

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Sofia Wilson

Kyberturvallisuus kiinteistöautomaatiossa

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

TEOLLISUUSAUTOMAATION TIETOTURVA. Jarkko Holappa Kyber-INKA Roadshow, Solo Sokos Hotel Torni, Tampere

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Sopimuksen liite Henkilötietojen käsittelyn ehdot

Data liiketoiminnan moottorina tietosuoja kilpailukyvyn vauhdittajana VTT:n media-aamiainen

Euroopan unionin yleinen tietosuoja-asetus mikä muuttuu? Ville Vainio, OTM, Asianajotoimisto Applex Oy

Tietoturvapolitiikka Porvoon Kaupunki

LIITE VARMENNEPALVELUJEN ASIAKAS- JA REKISTERÖINTISOPIMUKSIIN NRO

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

T I E TO S U O JA JA T I E TOT U RVA L L I S U U S O M N I A S S A Riina Kirilova, tietosuoja- ja tietoturvapäällikkö

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Miksi EU:n uusi tietosuoja on osa hyvää salkunhallintaa?

Riskit hallintaan ISO 31000

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

Euroopan unionin neuvosto Bryssel, 25. huhtikuuta 2017 (OR. en)

EU:n yleisen tietosuoja-asetuksen (GDPR) vaikutusten arviointi alueellisesti

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

1 Tietosuojapolitiikka

Kooste riskienhallinnan valmistelusta

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Tietoturvapalvelut valtionhallinnolle

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Opas verkkopalvelun tietoturvan varmentamiseen

Tietosuoja-asetuksen vaikutukset ja merkitys kuvakokoelmille. Annika Tuomala ja Ismo Malinen

Ulvilan kaupungin tietosuojapolitiikka

SOFOKUS KATSASTUS Katsomme verkkopalvelusi konepellin alle.

LAKIUUDISTUS TIETOSUOJAVALTUUTETUN TOIMISTON NÄKÖKULMASTA. Heljä-Tuulia Pihamaa Toimistopäällikkö

Soluto Oy. EU-tietosuojadirektiivi eli GDPR. Jani-Petteri Pohjonen

TIETOTURVAPOLITIIKKA

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

M U U TO S TA L A A D U N E H D O I L L A W W W. A R T E R. F I

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

TIETOSUOJAA KOSKEVA SOPIMUSLIITE. Päivitetty

eresepti- ja KANTA-hankkeissa

Fintech-yrityksen tietosuoja: Tietosuoja-asetus Markus Myhrberg

SOPIMUS HENKILÖTIETOJEN KÄSITTELYSTÄ

GDPR ja eprivacy mitä siis nyt pitäisi tehdä?

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Espoon kaupunki Tietoturvapolitiikka

GDPR-projektien ja johtoryhmien kuulumisia GDPR-päivä / Helsinki EU General Data Protection Regulation (GDPR) Juha Sallinen / GDPR Tech

- muotisana vai reaalimaailman ilmiö?

Transkriptio:

Tietosuojariskienhallinnan palvelutuotteet Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Kyberturvallisuustilanne 2017 Vuonna 2016 realisoituneet uhkat Istekin silmin nähtynä mm. Sähköpostikanavan erilaiset uhkat Kiristystä, huijausta, tilien haltuunottoa, menetettyä tietoa, menetettyä työaikaa Ransomware (kiristyshaittaohjelmat) Kiristystä, tiedostojen salausta, menetettyä tietoa, menetettyä työaikaa Watering hole (haitalliset sivustot) Tiedostojen salausta, menetettyä tietoa, menetettyä työaikaa Toimitusjohtajahuijaukset Internet of Things (IoT) kasvattaa hyökkäyspinta-alaa Kohdistetut haittaohjelmat Ovat arkipäivää Perustason virustorjunnalla, palomuurilla, roskapostisuodatuksella, ilman tilannekuvaa ja forensiikka osaamista ei tule enää toimeen

EU Yleinen tietosuoja-asetus (GDPR) Lainsäädännön noudattamisesta osoittamiseen Riskienhallinta tulee pakolliseksi ja keskeiseksi osaksi tietojen käsittelyn suunnittelua Rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta Sisäänrakennettu ja oletusarvoinen tietosuoja Tietoturvaloukkauksista ilmoittaminen ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa Valvonta tehostuu Mahdollistaa mm. hallinnollisen sakon (20M /4%) asetuksen rikkomisesta

Turvallisuus ja riskienhallinta

Riskienhallinnan prosessi (mukaillen ISO 31000:2009) Riskienhallintaympäristön määritteleminen Riskien tunnistaminen Riskianalyysi Seuranta (Määräajoin, muutoksissa) Riskien merkityksen arviointi (PIA, BIA) Riskien käsittely 16.2.2017 5

Riskien arviointi Riskien tunnistaminen (motiivit, tapahtumat..) Haavoittuvuuksien tunnistaminen Skenaarioiden rakentaminen Seuranta (Määräajoin, muutoksissa) Todennäköisyyksien arviointi Riskien merkityksen arviointi Hallintakeinojen (kontrollien) valinta 16.2.2017 6

Istekin turvallisuus- ja riskienhallintapalvelut Tarjoamme kattavat turvallisuus ja riskienhallintapalvelut ICMT-ratkaisujen elinkaareen kaikkiin vaiheisiin mm. tekniset tietoturvakontrollit, tietoturvapäällikköpalvelut ja tietosuojavastaavapalvelut Plan (suunnittelu) Act (kehittäminen) Do (toteutus) Check (monitorointi) 16.2.2017 7

Kyberturvalliset projektit 1- Luokka: Yksittäinen palvelu tai sovellus, jolla ei ole alueellista käyttöä eikä merkittäviä liittymiä muihin järjestelmiin tai kokonaisuuksiin Sisältää tietoturva-arkkitehtuurin konsultointia seuraavasti: Tutustuminen ehdotettuun toteutukseen ( kuva/kaavio/suunnitelma) Annetaan arvio esitetyn ratkaisun tietoturva-arkkitehtuurin soveltuvuudesta esitettyyn käyttötarkoitukseen Järjestelmän haavoittuvuusskannauksen sekä simuloidun hyökkäyksen järjestelmään Asiakkaalle toimitetaan raportti jäännösriskeistä sekä korjausehdotukset Palvelu ei sisällä työpajamenettelyllä toteutettavaa uhkamallinnusta 2 - Luokka: Alueellinen tietojärjestelmä tai keskitetty palvelu, jossa on liittymiä useisiin toimintaympäristöihin 3 - Luokka: Merkittävä järjestelmäkokonaisuus johon sisältyy useita osakokonaisuuksia, integraatioita tai liittymiä useisiin tietojärjestelmiin tai kokonaisuuksiin 16.2.2017 8

Kyberturvalliset projektit Paketit 2 ja 3 sisältävät Tarjouksen läpikäynnin ja ulkoisten vaatimusten katselmoinnin Työpajan, jossa yhdessä asiakkaan kanssa katselmoidaan järjestelmän käyttötapaukset ja väärinkäyttötapaukset sekä uhkien mallintaminen Palvelueston liiketoimintavaikutusten ja korvausjärjestelyjen pohdinta ja suunnittelu Julkaisu- ja provisiointitavat sekä pääsynhallinnan periaatteet Tietoturva-arkkitehtuurin ja tietoturvakontrollien valinta Järjestelmän haavoittuvuusskannauksen, sekä simuloidun hyökkäyksen järjestelmään Käyttöönottohyväksynnän asiakkaan hyväksymien jäännösriskien perusteella Baseline-analyysit ja toistuvat haavoittuvusskannaukset sovitaan erikseen tapauskohtaisesti (esimerkiksi aina kun toimittaja päivittää ohjelmistoa) 16.2.2017 9

Tietosuojakonsultointi 1- Luokka: Yksittäinen palvelu tai sovellus, jolla ei ole alueellista käyttöä eikä merkittäviä liittymiä muihin järjestelmiin tai kokonaisuuksiin 2 - Luokka: Alueellinen tietojärjestelmä tai keskitetty palvelu, jossa on liittymiä useisiin toimintaympäristöihin 3 - Luokka: Merkittävä järjestelmäkokonaisuus johon sisältyy useita osakokonaisuuksia, integraatioita tai liittymiä useisiin tietojärjestelmiin tai kokonaisuuksiin 16.2.2017 10

Tietosuojakonsultointi Luokat 1 ja 2: Läpikäydään asiakkaan tietojärjestelmälle laatimat politiikat, ohjeistukset ja käyttötapaukset Arvioidaan lakien ja asetusten mukaisuus voimassaolevaan lainsäädäntöön, sekä tulossa olevaan EUtietosuoja-asetukseen Kirjoitetaan loppuraportti ja suositukset Luokka 3: Läpikäydään asiakkaan tietojärjestelmälle laatimat politiikat, ohjeistukset ja käyttötapaukset Arvioidaan lakien ja asetusten mukaisuus voimassaolevaan lainsäädäntöön, sekä tulossa olevaan EUtietosuoja-asetukseen Auditoidaan käyttötapaukset pääkäyttäjätasoisten henkilöiden haastatteluilla Kirjoitetaan loppuraportti ja suositukset 16.2.2017 11

Palvelujen tekninen tietoturvatarkastus Tarkastuksen jälkeen asiakas saa kokonaiskuvan sisäverkkonsa teknisen tietoturvan tasosta, mahdollisista ongelmakohdista sekä kehityskohteista Loppuraportissa asiakas saa myös arvion mahdollisten ongelmakohtien vaikuttavuudesta 16.2.2017 12

Osaaminen ja resurssit: Virustorjunta ja päätelaitetietoturva-asiantuntijoita Päätelaiteturvallisuus, haittaohjelma-analyysit, forensiikka Järjestelmien käyttöönottotarkastukset, tietoturvatarkastukset Tietoturva-asiantuntijoita Tietoturva-arkkitehtuurin konsultointipalvelut, riskiarviot, uhkamallinnus Sovellus ja käyttäjätietoiset palomuuripalvelut, kehittyneet turvallisuusominaisuudet Sähköpostin kokonaisturvallisuus (roskaposti, hiekkalaatikot) Turvalliset julkaisut ja etäyhteydet, monivaiheinen tunnistus Järjestelmien käyttöönottotarkastukset, kyberturvallisuus suositukset Tilannekuvapalvelut SOC toiminta ja SIEM ratkaisut LTT/Sote tietoturva-asiantuntija, tietosuojavastaava Lääketieteellisen tekniikan kyberturvallisuus, turvalliset SoTe applikaatiot ja integraatiot Tietosuojavaatimusten konsultointi

Resurssit ja tilat Henkilöstön määrä 1/2017 9hlö (kasvussa) Vahvasti sertifioitua osaamista Henkilöstöstä perusmuotoiset turvallisuusselvitykset Kaikki paikat täytetty hakemusten/testien/haastattelujen kautta Security Operation Center tyyppiset tilat ja työkalut takaavat tehokkaan tiimityöskentelyn 16.2.2017 14

Kysymyksiä? marko.ruotsala(ät)istekki.fi 0408080786

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute