Digital by Default varautumisessa huomioitavaa

Samankaltaiset tiedostot
Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Miten varmennan ICT:n kriittisessä toimintaympäristössä?

VAHTI Sähköisen asioinnin tietoturvaohjeen esittely (VM 25/2017)

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Kuinka toimin erilaisissa häiriötilanteissa? Julkisen hallinnon digitaalisen turvallisuuden teemaviikko Erja Kinnunen, Verohallinto 2.10.

Miten valmistaudun tietosuoja-asetuksen vaatimuksiin?

Julkisen hallinnon digitaalisen turvallisuuden teemaviikko tiistai Sähköisen asioinnin tietoturvaseminaari

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Kyberturvallisuus kiinteistöautomaatiossa

Webinaarin sisällöt

Riskien arvioinnista turvallisuushavainnointiin. Messukeskus Työturvallisuuskeskus, Kerttuli Harjanne

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 4

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Jatkuvuuden varmistaminen

Käyttöönottotyöryhmä

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 2

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 5

Tietoturvapalvelut valtionhallinnolle

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Mitä varautumissuunnitelmilta odotetaan? Tarvo Siukola

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Fiksumpi käyttöliittymä kuntaan. Miten kuntien tietojärjestelmät saadaan palvelemaan kuntalaisia? LapIT-päivät 2015

POLVIJÄRVEN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Tietoturvan johtaminen ja vastuut

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Miten uudistettu VAHTI voi auttaa organisaatiotasi turvallisuuden kehittämisessä? Kimmo Rousku

TAISTO18-harjoitus - palauteseminaari

Tietoturvaa verkkotunnusvälittäjille

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

ICT & digitaalinen maailma ja turvallisuus v Kimmo Rousku

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Pilvipalveluiden arvioinnin haasteet

Tietosuojahankkeen esittely ota tietosuojaasetuksen. Kuinka koulutan ja ohjeistan henkilöstöä tietosuojan osalta! Tuula Seppo, Kuntaliitto

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Vihdin kunnan tietoturvapolitiikka

TIETOTURVAA TOTEUTTAMASSA

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

ILMOITUSVELVOLLISEN RISKIARVION LAATIMINEN

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Kooste riskienhallinnan valmistelusta

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Kokonaisarkkitehtuurin kehittäminen Satu Pajuniemi. Conversatum Oy

Opiskelija osaa suunnitella ohjelmiston toteuttamisen, toteuttaa, testata ja dokumentoida ohjelmiston.

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

JUHTA: n toteuttamat tietosuojayhteishankkeet Työpaja # 3

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Palvelulaatu. Asiakkaiden käyttökokemukseen vaikuttavat laatutekijät digitaalisissa asiointipalveluissa. Petteri Ohvo,VM/JulkICT

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Tietoturvapolitiikka. Hattulan kunta

RÄÄKKYLÄN KUNNAN TIETOTURVA- JA TIETOSUOJAPOLITIIKKA. Hyväksytty: Rääkkylä kunnanhallitus XXXxxx

työssäoppimispaikan työtehtävissä toimiminen ammattiosaamisen näytön suorittaminen näyttösuunnitelman mukaan. Ammattitaidon osoittamistavat

Consultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

VALTIONHALLINNON DIGITAALISEN TUR- VALLISUUDEN ASIANTUNTIJAPALVELU VAL-DIAS PALVELUKUVAUS. Auditointi- ja konsultointipalvelut

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Kehmet. Yleisesittely

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

Valtioneuvoston asetus

Sähköi sen pal l tietototurvatason arviointi

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Ohje tietoturvaloukkaustilanteisiin varautumisesta

Ohjelmiston toteutussuunnitelma

Toiminnan jatkuvuus - käytännön näkökulma

Valmiusharjoituksesta hyödyt irti

Miten Suomen julkisen hallinnon organisaatiot pärjäisivät tietoturvan ja tietosuojan ollessa uhattuna? TAISTO18-harjoitus

Asukkaiden ja sidosryhmien osallistaminen osana kestävän kaupunkiliikenteen suunnittelua. Sara Lukkarinen, Motiva Oy

Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

SUUNNITTELE JA JOHDA TURVALLISUUTTA, ENNAKOI RISKIT JA VARMISTA LAATU- JA TURVALLISUUSKULTTUURI

ICT muutos kunta- ja palvelurakennemuutoksessa. Selvitysvaiheen tehtävät

TIETOTURVAPOLITIIKKA

Projektin suunnittelu A71A00300

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

Tietosuojan osoitusvelvollisuutta edistävät työpajatilaisuudet

Case-esimerkki havaintoja palveluiden tietosuoja- ja tietoturvakysymyksistä

Tietoturvapolitiikka

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

Työssäoppimispaikan työtehtävien ja ammattiosaamisen näytön suorittaminen työssäoppimisja näyttösuunnitelman mukaan hyväksytysti.

JULKISEN HALLINNON DIGITAALISEN TURVALLISUUDEN KEHITTÄMISHANKE DIGITURVA-YHTEISHANKE VÄESTÖREKISTERIKESKUS

JUHTA: n toteuttamat tietosuojayhteishankkeet Kick off-tilaisuus ja 1. työpaja

Mitä apuja VAHTI tarjoaa julkisen hallinnon digitaalisen turvallisuuden kehittämiseen?

Kansallinen kyberturvallisuusharjoitus miten harjoitus tekee mestarin?

Projektin suunnittelu A71A00300

TIETOSUOJATYÖN ORGANISOINTI

Opiskelija osaa määritellä ohjelmiston tiedot ja toiminnot, suunnitella ohjelmiston rakenteen ja laatia ohjelmiston teknisen spesifikaation.

Transkriptio:

Digital by Default varautumisessa huomioitavaa VAHTI Sähköisen asioinnin tietoturvaseminaari 3.10.2017 osana VAHTI Digitaalisen turvallisuuden teemaviikkoa 1

Agenda Palvelun riskienhallinta ja riippuvuudet Palvelun varautumistoimien kohdentaminen Esimerkkejä varautumistoimenpiteistä 2

Sähköisen asiointipalvelun yleinen rakenne 3

Palvelun riskienhallinta ja riippuvuudet Riskien ja riippuvuuksien hallinnassa suunniteltavaa ja huomioitavaa: Suunnittele Palvelun tietojenkäsittely ja käyttötapaukset Suunnittele Palvelun vastuunjako ja määritä sen mukaisesti edellytettävä yhteistyö ja sopimukset Suunnittele Palvelun teknisten ja käytön lokien keruu ja seuranta Palvelun elinkaaren vaihe Palveluun saattaa kohdistua useita riskejä sekä riippuvuuksia muista palveluista ja tukipalveluista Tunnista Palvelun riskiprofiili sekä sovi riskienhallinnan menettelytavat Ohjeista ja kouluta Palvelun tuottamiseen osallistuvat sekä Palvelun merkittävät käyttäjäryhmät 4

Palvelun varautumistoimien kohdentaminen Varautumistoimiin vaikuttavat yleensä: Palvelun kriittisyys- ja tärkeysluokittelu (mikä on Palvelun merkittävyys toiminnalle ja sen prosesseille?) Palvelun jatkuvuuden ja ICT-varautumisen vaatimukset huomioi erityisesti vaatimusten suunnittelussa, asettamisessa sekä seurannassa Suunniteltu vastuunjako voidaan toteuttaa panostamalla sopimuksiin ja seuraamalla Palvelun sopimuksenmukaisuutta ja laatua 5

Palvelun varautumistoimien kohdentaminen Valittujen Palveluiden osalta on suositteleva arvioida vaikutuksia (esim. BIA-työkalun avulla) 6

Palvelun varautumistoimien kohdentaminen Käyttöliittymien ja palvelurajapintojen eriyttäminen Tarpeet kahdennukselle ja kuormantasaukselle 7

Palvelun varautumistoimien kohdentaminen Arvioi uudelleen ja kehitä varautumistoimia seuraavien perusteella: Palvelun kriittisyys- ja tärkeysluokittelu ja arviot vaikutuksista Palvelun muutostilanteissa riittävät varautumistoimet ja riskiarviot Palvelun riskiarvioista kehittämiskohteita Palvelun testauksista sekä tietoturva-arvioinneista kehittämiskohteita Palvelun turvallisuuden ylläpitämiseksi haavoittuvuuksien ja varmistuksien hallinnan seuranta Palvelun läheltä-piti- ja häiriötilanteista oppiminen 8

Esimerkkejä varautumistoimenpiteistä Mikäli palvelua suunnitellaan ja edelleen kehitetään, palvelun kehitys-, testaus- ja hyväksyntäprosesseissa tietoturvallisuuden ja tietosuojan huomioiminen Mikäli palvelu on tuotannossa, palvelun normaalin toiminnan seuraaminen ja poikkeavuuksien tunnistaminen Varautumisen harjoittelu sisäisesti ja yhteistyössä: tekninen toipumisharjoittelu, jatkuvuusharjoittelu, häiriötilanteiden hallinnan harjoittelu, valittujen korkea riskisten skenaarioiden harjoitteleminen 9

Esimerkkejä varautumistoimenpiteistä Arvioidaan varautumistoimenpiteiden riittävyys Palvelun riskiarvioinnit ja seurantamenettelyt Palvelun tietoturvallisuuden tilan arviointi (esim. heikkoudet ja haavoittuvuudet, vaatimuksenmukaisuus) Rajoitetaan ja tarkistetaan Palvelun palvelurajapintojen ja käyttöliittymien syötteitä (käyttäjiltä ja tietojärjestelmiltä) Mikäli Palvelun kautta voidaan lähettää tiedostomuotoisia aineistoja, on huomioitava riskit haittaohjelmista - arvioi varautumistoimenpiteitä Tiedoston muototarkistukset: mm. sallitut tyypit, maksimi koot Haittaohjelmatarkistukset 10

KIITOS! 11

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute