Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Samankaltaiset tiedostot
Toiminnan jatkuvuus - käytännön näkökulma

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Digital by Default varautumisessa huomioitavaa

Kansallinen kyberturvallisuusharjoitus miten harjoitus tekee mestarin?

PIEKSÄMÄEN KAUPUNGIN TIETOTURVAPOLITIIKKA

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

Tietoturvapolitiikka NAANTALIN KAUPUNKI

Sovelto Oyj JULKINEN

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Vihdin kunnan tietoturvapolitiikka

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

Kooste riskienhallinnan valmistelusta

Johda myös riskejä riskienhallinta mahdollistaa #onnistuminen #menestyminen Valtiovarainministeriö

Tietoturvan johtaminen ja vastuut

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE. TAISTO19-harjoitus VÄESTÖREKISTERIKESKUS

Tietoturvapolitiikka

Tietoturva Kehityksen este vai varmistaja?

Tietoturva- ja tietosuojapolitiikka

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

TIETOTURVAPOLITIIKKA Hyväksytty IT-yhteistyöalueen johtokunnassa

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Tietoturvapolitiikka

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Jatkuvuuden varmistaminen

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

RIITTÄÄKÖ LUOTTAMUS HÄIRIÖTILANTEESSA? SOPIMUSPERUSTEINEN VARAUTUMINEN Valmiusasiamies Jaakko Pekki

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

TIETOTURVAPOLITIIKKA

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

Karkkilan kaupungin tietoturvapolitiikka

Työpaja #10 lyhyt kertaus. #tuki2018 #stöd2018

1 Käsitteet ja termit

Miten toteutetaan hyvä vesihuollon varautumissuunnitelma ja miten toimintaa häiriötilanteessa voidaan harjoitella? Lounais-Suomen vesihuoltopäivä

Miksi varautuminen on tärkeää? Näkökulmia toiminnan jatkuvuuden suunnitteluun

ICT & digitaalinen maailma ja turvallisuus v Kimmo Rousku

Espoon kaupunki Tietoturvapolitiikka

Uudenmaan maakunnan toiminnan ja hallinnon käynnistämisen riskiarvio Tiivistelmä

Varautumisen uudet rakenteet. Vesa-Pekka Tervo pelastustoimen kehittämispäällikkö KUMA 2017, Tietoisku: Varautumisen uudet toimintatavat A 3.

Tietoturvapolitiikka

Miten uudistettu VAHTI voi auttaa organisaatiotasi turvallisuuden kehittämisessä? Kimmo Rousku

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE VÄESTÖREKISTERIKESKUS

Määräyksen 11 uudistaminen

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

TIETOSUOJAPOLITIIKKA. Turun kaupunki

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

OULUNKAAREN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Riskienhallinta. Alueellinen esimerkki. Inka Tikkanen-Pietikäinen. Muutosjohtajien verkostotapaaminen

Tietoturvapolitiikan käsittely / muutokset:

Valtorin strategia. Hyväksytty Valtorin hallituksen kokouksessa

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

julkinen ja yksityinen tila menevät sekaisin kulunrajoitusta ja -ohjausta ihmisille toiminta osin ympärivuorokautista asennusalustoja ja -reittejä

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Valtorin strategia Töissä valtiolla sujuvasti ja turvatusti

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

Kuopion kaupunki Dnro 3720/2018 Elinvoima- ja konsernipalvelu Tietohallinto

Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus

Tietoturvapalvelut valtionhallinnolle

KRIISIVIESTINTÄ TAPAHTUMISSA TAPIO REINEKOSKI HYYN VIESTINTÄASIANTUNTIJA AALTO-YLIOPISTON VIESTINNÄN ERITYISASIANTUNTIJA 2017

Varautuminen ja riskienhallinta - alajaosto. Tilannekatsaus Jukka Koponen

Vesihuoltolaitoksen häiriötilanteisiin varautuminen

Ammattikorkeakoulu 108 Liite 1

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

ELINTARVIKEHUOLTOSEKTORIN POOLIT Valmiuspäällikkö Aili Kähkönen. Elintarvikehuoltosektorin poolit

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

KUJA2: Kuntien ja maakuntien jatkuvuudenhallinta -projekti. Aki Pihlaja Projektipäällikkö

Valtioneuvoston asetus

VAHTIn toiminta

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

Kimmo Rousku

Luonnos LIITE 1

Luottamusta lisäämässä

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta

Keskeiset muutokset varautumisen vastuissa 2020

Valmius ja jatkuvuudenhallinta soterakenteissa Sari Vuorinen. Projektipäällikkö Kuntaliitto

JUHTA-asiantuntijaryhmä tietoturva, tietosuoja, varautuminen Toteuma v. 2017, suunnitelma v. 2018

Kriisiviestintäohjeen päivitys

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Vesihuollon häiriötilannesuunnitelman laatiminen. Vesa Arvonen

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Sisäisen turvallisuuden alueellinen yhteistyömalli

VAHTI Ohjejaosto - vuosi toimintaa

Lapin yliopiston tietoturvapolitiikka

Palveluiden häiriöttömyys ja toimitusvarmuus. Varautuminen?

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

Maakuntien asema ja rooli varautumisen toimijoina

Maakuntien varautumisen kehittäminen - Riskien arviointi. Varautumisjohtaja Jussi Korhonen Maakuntien kriisiviestintäseminaari

LUONNOSVERSIO VAHTI 2/2016. Toiminnan jatkuvuuden hallinta

Sosiaali- ja terveydenhuollon valmiussuunnitteluohjeistus

VAHTI kuntien tietoturvajaoston toimintakatsaus

1 Käsitteet ja termit

Transkriptio:

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.2017

Sisältö Miksi palveluiden toimivuus ja jatkuvuus on tärkeää? Mikä on häiriö? Miten toimin yksilönä? Miten organisaation tulisi toimia? Miten voimme varautua? Mitä odotamme sopimuskumppanilta / palvelutoimittajalta? Mitä häiriön jälkeen?

Miksi palveluiden toimivuus ja jatkuvuus on tärkeää? Koko julkishallinnon toiminta on erittäin riippuvaista tiedoista ja tietojärjestelmistä Manuaaliset työvaiheet ja työvälineet poistuvat asteittain kokonaan Miten työpäiväsi sujuisi jos esim. sähköposti tai organisaatiosi tietoliikenneverkko olisi päivän poissa toiminnasta?

Häiriö (VAHTI tietoturvasanasto 8/2008) 1. tilanne tai tapahtuma, jonka vuoksi järjestelmä ei toimi normaalisti 2. toiminnan jonkin osatekijän haitallinen vaihtelu, jonka puitteissa toiminta voi silti pääosin jatkua Ks. tietoturvapoikkeama = haitallinen tapahtuma, tahallinen tai tahaton tapahtuma tai olotila, jonka seurauksena organisaation vastuulla olevien tietojen ja palvelujen eheys, luottamuksellisuus tai tarkoituksenmukainen käytettävyystaso on tai saattaa olla vaarantunut Käytännössä meillä tapahtuu tietoturvapoikkeamia todella harvoin verrattuna ICT-palvelutuotantoon tai muuhun digitaalisessa toimintaympäristössä tapahtuviin teknisiin häiriöihin joista osa saattaa johtua esimerkiksi luonnonilmiöistä

Häiriö ketä koskee? yksi käyttäjä / useita käyttäjiä miten ilmenee? palvelu ei toimi työväline ei toimi työasema/-väline toimii kummallisesti en osaa käyttää palvelua / järjestelmää / työvälinettä

Miten toimin yksilönä? Mikä on roolisi organisaatiossa? Johtaja / päällikkö? Tietoturva- / turvallisuusvastaava? Prosessista / palvelusta vastaava? Tekninen henkilö, esim. järjestelmävastaava? Loppukäyttäjä / palvelun hyödyntäjä?

Miten toimin yksilönä? Ota selvää oman organisaatiosi käytännöistä! löytyykö ohjeet Intranetistä? Seuraa organisaatiosi vikailmoitussivua tai vastaavaa! Minne ilmoitan? jos jokin palvelu ei toimi jos oma työväline ei toimi jos epäilet tietoturvaongelmaa jos haluat neuvoja Usein yksi kontaktipiste helpdesk, service desk tms. puhelinnumero, sähköpostiosoite, intranet-lomake, helpdesk-sovellus tms.

Miten organisaation tulisi toimia? Kuvatut käytännöt / prosessit täytyy olla olemassa Häiriönhallintaprosessi mitä tehdään, kuka osallistuu vastuunjako organisaation ja palvelutoimittajien kesken milloin tietoturvavastaava otetaan mukaan selvittelyyn Tietoturvapoikkeamien hallintaprosessi organisaation oma ja valtionhallinnon yhteinen CERT-/VIRT-toiminta CERT.FI milloin otetaan yhteyttä poliisiin tai muihin viranomaisiin Viestintä pitää olla mietittynä ja kuvattuna sisäinen ja ulkoinen

Miten voimme varautua? Mistä häiriöt johtuvat? riskiarviointi; skenaariot, todennäköisyydet, vaikutukset ylläpidä riskirekisteriä jatkuvasti / säännöllisesti Mihin pitää varautua? riskiskenaariot todennäköisimmät? ne joihin on helppo varautua? ne joista aiheutuvat suurimmat menetykset? Jatkuvuussuunnittelu!

Varautuminen ja jatkuvuus Jatkuvuussuunnittelu Toiminnan / prosessin jatkuvuus yleiset skenaariot; ihmiset, tilat, työvälineet, tietojärjestelmät eivät ole käytettävissä Vaihtoehtoiset toimintatavat Toipumissuunnittelu tietojärjestelmän tai palvelun elvyttäminen häiriötilanteissa kuvaa tekniset toimintatavat Valmiussuunnittelu miten toimitaan poikkeusoloissa Kaikissa tärkeitä roolit, vastuut, toimenpiteet, varamenettelyt, yhteystiedot ja viestintä

Sopimuskumppanit / palvelutoimittajat Mikään organisaatio ei toimi yksin Sovellus-, käyttöpalvelu-, tietoliikennetoimittajat Palvelutoimittajien kanssa sopimukset mitä edellytämme? Tietoturvavaatimukset SLAt, sanktiot jatkuvuus- / toipumissuunnitelmat

Tilanteen jälkeen Jälkikäteisanalysointi mitä tapahtui? miksi tapahtui? miten toimittiin? mitä siitä seurasi? voidaanko jatkossa toimia paremmin? Mahdollista / helpompaa kun toimenpiteistä pidetään kirjaa häiriön aikana Ohjeiden ja prosessien päivittäminen! Tiedottaminen ja viestintä

Kaksi vaihtoehtoista toimintatapaa Kun organisaatio kohtaa jonkin häiriön ensimmäistä kertaa 1. organisaatiolla ei ole suunnitelmia toiminnasta häiriötilanteessa 2. organisaatio on laatinut tarvittavat suunnitelmat, kouluttanut suunnitelmat sekä harjoitellut niiden mukaista toimintaa jo pienimuotoinen harjoittelu auttaa häiriötilanteisiin varautumista jos tarvittavat asiantuntijat, esimiehet ja viestintä miettivät yhdessä pöydän ääressä (ns. pöytä-/ paperiharjoitus) todennäköisimpiä toimintaan vaikuttavia häiriötilanteita, se auttaa varautumaan myös muun tyyppisiin häiriöihin

Hyödyllistä lisätietoa www.vahtiohje.fi erityisesti VAHTI 2/2016 Toiminnan jatkuvuuden hallinta VAHTI 8/2017 Tietoturvapoikkeamatilanteiden hallinta VAHTI 22/2017 Ohje riskienhallintaan

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute