Virtu tietoturvallisuus. Virtu seminaari 18.3.2014



Samankaltaiset tiedostot
Valtion IT-palvelukeskuksen tietoturvapalvelujen ajankohtaiset kuulumiset

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

VIRTU ja tietoturvatasot

Sähköi sen pal l tietototurvatason arviointi

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Suorin reitti Virtu-palveluihin

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

TIETOTURVATASOVAATIMUKSET HANKINNOISSA

Valtorin tietoturvapalvelut ja VAHTI yhteistyö. Valtorin asiakaspäivä Johtava asiantuntija Pekka Ristimäki

Laatua ja tehoa toimintaan

Ajankohtaista Virtu-palvelussa

Tietoturvapolitiikka

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Viestintäviraston tietoturvapolitiikka

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Katsaus tieto- ja kyberturvallisuuden tilanteeseen. Aku Hilve JUHTA

Tietoturvapolitiikka

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Vihdin kunnan tietoturvapolitiikka

Tietoturvapalvelut valtionhallinnolle

Tietoturva hallinnossa Jukka Kuoksa, Johtava vesitalousasiantuntija

Tutkimuslaitosseminaari

Tietoturvakonsulttina työskentely KPMG:llä

TIETOTURVAPOLITIIKKA

VERKKOPALVELUN TIETOTURVAN VARMENTAMINEN

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

Vahva vs heikko tunnistaminen

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Tietoturvapolitiikka Porvoon Kaupunki

Kokemuksia ja näkemyksiä tietosuojaasetuksen

Tietoturvapolitiikka

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Loppuyhteenveto. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Tietoturvavastuut Tampereen yliopistossa

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

Toimitilojen tietoturva

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

Pilvipalveluiden arvioinnin haasteet

Valtioneuvoston asetus

Standardit tietoturvan arviointimenetelmät

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Katsaus tieto- ja kyberturvallisuuteen. Valtorin tietoturvaseminaari Paasitorni Kimmo Rousku Apulaisjohtaja, tietoturvapalvelut

Auditoinnit ja sertifioinnit

Opetushallitus pyytää tarjoustanne tämän tarjouspyynnön ja sen liitteiden mukaisesti.

Ohje arviointikriteeristöjen tulkinnasta

Tietoturvallisuus ja varautuminen kunta- ja palvelurakennemuutoksessa. Valtiovarainministeriö Puh tai v

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Lapin yliopiston tietoturvapolitiikka

5 (+2) STEPPIÄ, JOTKA PK-YRITTÄJÄN TULEE LAITTAA KUNTOON ENNEN TOUKOKUUTA 2018

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

VAHTI Ohjejaosto - vuosi toimintaa

Espoon kaupunkikonsernin tietoturvapolitiikka

SÄHKÖISEN TUNNISTAMISEN PALVELU KANSALLISESSA PALVELUARKKITEHTUURISSA

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Teknisen ICT-ympäristön tietoturvataso-ohje

Sovelto Oyj JULKINEN

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Tietoturvaa verkkotunnusvälittäjille

Valtion IT-palvelukeskus (VIP) Anna-Maija Karjalainen

Tietoturva- ja tietosuojapolitiikka

ICT-VARAUTUMINEN VALTIT-INFO

Palvelun Asettaminen Virtuun

VAHTIn toiminta

Espoon kaupunki Tietoturvapolitiikka

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Federoidun identiteetinhallinnan

Tietoturva-asetus ja VIPin tietoturvapalvelut Kimmo Rousku

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Apteekista löytyy listaus tärkeimmistä säädöksistä. Apteekista löytyy listaus ydinprosesseista ja niiden vastuuhenkilöistä.

Karkkilan kaupungin tietoturvapolitiikka

Valtion konesali- ja kapasiteettipalvelun merkitys valtion konesalistrategian toteuttamisessa VM/JulkICT / Tuomo Pigg

Tietoturvapalvelut Huoltovarmuuskriittisille toimijoille. Kansallinen CIP-seminaari. Jani Arnell Vanhempi tietoturva-asiantuntija CERT-FI

Teknisen ICTympäristön

VAHTI-tilannekatsaus sekä VAHTI 2/2015 Ohje salauskäytännöistä -tilaisuus ICT-toimittajille

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

Tietoturvallisuuden hallinta: palautejärjestelmän vaatimukset ja toteutustavat. Diplomityöesitelmä Juha Kalander

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

Ammattikorkeakoulu 108 Liite 1

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

HUOVI-portaali. Huoltovarmuustoiminnan uusi painopiste: toiminnallinen huoltovarmuus

Case-esimerkki: Miten Valtori hallitsee riskejä? Tommi Simula Riskienhallintapäällikkö

Jatkuvuuden varmistaminen

LapIT mukana maakuntavalmistelussa. Antti Mathlin

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Tietoturvallisuusvaatimukset puolustusvoimien. mukaisessa tietojärjestelmähankkeessa

Tietoturva- ja tietosuojapolitiikka

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

APPLICATION MANAGEMENT SERVICES. ecraft

Transkriptio:

Virtu tietoturvallisuus Virtu seminaari 18.3.2014

Sisältö Virtu edistää tietoturvallisuutta Tietoturvallisuus Valtorin palveluissa Tietoturvavaatimukset luottamusverkostoon liityttäessä 2

Kertakirjautuminen edistää tietoturvallisuutta Kertakirjautuminen (SSO) vähentää lukuisten erillisten käyttäjätunnusten hallintatarvetta lukuisissa eri sovelluksissa Myös tietoturvan hallinta käyttäjän tunnistamisen ja pääsynhallinnan osalta helpottuu Säästää aikaa, vaivaa ja rahaa Riskit haamutunnusten osalta pienenevät Helpottaa ihmisten pääsy palveluihin kirjautumis- ja käyttäjätunnusten lukkiutumisongelmat vähenevät huomattavasti Autentikointi tapahtuu organisaation sisällä, salasana ei lähde luottamusverkostoon (oman palomuurin ulkopuolelle). Helpottaa auditointeja ja vaatimustenmukaisuuden ylläpitoa Esimerkiksi keskitetty audit trail/jäljitettävyys, raportointi 3

Tietoturvallisuus Valtorin palveluissa 4

Palveluiden tietoturvan hallinnan lähtökohdat Tietoturvan hallinta, ja siihen liittyvät tehtävät, on viety osaksi palvelunhallintaa. Toimintamallit, ohjeet, työkalut ja tuki tuodaan palveluille suunnitellusti tietoturvallisuuden hallintajärjestelmän avulla. Velvoitteita tietoturvallisuuden hallinnalle asettavat mm: Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 1.7.2010/681 Muuta lait ja asetukset (mm. JulkL ja HetiL) VIPin tietoturvapolitiikka 5

Vaatimusmäärityksistä tuotantoon, eli miten tietoturvallisuus toteutetaan palveluissa? Hankintavaihe Tietoturvavaatimukset hankkeen suunnittelussa, kilpailutuksessa ja tuotantoon hyväksymisessä Valtori Tietoturvallisuus hankkeissa Tuotantovaihe jatkuva palvelu Tietoturvallisuuden vuosikello Toimenpidelista Valtori Tietoturvallisuus jatkuvissa palveluissa 6

Hankintavaihe 7

Suunnittelun ja kilpailutuksen tietoturva-vaatimukset 8

Vaatimusalueet 1. Tietoturvatasovaatimukset (TTA 681/2010, VAHTI 2/2010) ST IV / III / II tasojen tietoaineiston käsittelykyky 2. ICT-varautumisen vaatimukset (Vahti 2/2012) Perustaso Korotettu taso Korkea taso 9

Vaatimusalueet 3. Yleiset vaatimukset Palvelun tuottamiseen käytettävän palvelin- ja tietoliikenneympäristön, sekä käyttöpalvelutoimittajaa koskevat yleiset tietoturvavaatimukset Palvelun tietoturvallisuuden vuosikelloon sisältyvät vaatimukset Perustuvat yleisiin best practice malleihin 4. Sovelluskehityksen vaatimukset Vaatimukset palvelussa tai palvelulle tuotettavalle sovelluskoodille ja sovelluskehitysprosessille Lähtökohtana VAHTI 1/2013 (Sovelluskehityksen tietoturvaohje), myös SANS/CWE Top25 ja OWASP Top Ten 5. Hankittavan kohteen erityisvaatimukset Esim. riskianalyysin pohjalta tuotettavat, juuri tätä hankintaa koskevat tietoturvavaatimukset 10 Valtori - Etunimi Sukunimi -12.01.2014

Jatkuva palvelu 11

Toimintamalli 1. Järjestelmän ja ympäristön perustiedot ja kuvaukset - Järjestelmäkuvaus, rekisteriselosteet 2. ICT-riskien arviointiprosessi - Arvioidaan vuosittain, kehitys- ja korjaustoimenpiteiden etenemisen seuranta 2-4 kertaa vuodessa 3. Toipumissuunnitelma(t) - Palvelu- tai järjestelmäkohtainen yksityiskohtainen suunnitelma teknisistä häiriöistä toipumiseen - Häiriöviestinnällä keskeinen rooli 12

Toimintamalli 5. Palvelun auditointisuunnitelma sekä suoritettavat säännönmukaiset auditoinnit 6. Sopimusten katselmointi tietoturvallisuuden osalta 7. Tietoturvallisuuden liittäminen toimittajayhteistyöhön Säännöllisissä toimittajatapaamisessa tietoturva-asiat ovat asialistalla (poikkeamat, raportit, kehitys) 8. Tietoturvapoikkeamien hallinta ja raportointi Häiriötilanteiden hallinta, eli vastuut, yhteyskanavat ja eskalointi tietoturvapoikkeamien tai niiden epäilyjen ilmetessä 9. Tietoturvallisuuden vastuunjakotaulukko Kuvaus tietoturvallisuuden vastuista sidosryhmittäin ja rooleittain 10. Palvelun tietoturvallisuuden vuosikello ja toimenpidelista 13

Vuosikello Sopimuskatselmointi katselmointi ja päivitys Vuosikellon päivitys seuraavalle vuodelle Toimenpiteiden seuranta ja raportointi Palvelun riskien arviointi Palvelun auditointisuunnitelman katselmointi ja päivitys Toipumissuunnitelman katselmointi ja päivitys Toimenpiteiden seuranta ja raportointi Huhtikesäkuu Heinäsyyskuu Lokajoulukuu Tammimaaliskuu Tietoturvallisuuden vastuunjakotaulukko katselmointi ja päivitys Palvelun perustiedot ja kuvaukset katselmointi ja päivitys Toimenpiteiden seuranta ja raportointi Tietoturvapoikkeamien hallinta ja raportointi(häiriöviestintäsuunnitelm an katselmointi ja päivitys) Toimenpiteiden seuranta ja raportointi 14

Palvelun toimenpidelista Riskianalyysit Auditoinnit Vuosikello Kehitysideat 15

Tietoturvavaatimukset luottamusverkostoon liityttäessä Virtuun liittyvä organisaatio järjestää oman IdP-ympäristön tietoturvaauditoinnin VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta ohjeen mukaista perustasoa vastaan. Liittyvä organisaatio tilaa auditoinnin Valtorilta. Auditointiin sisältyy organisaation arviointi sekä IT-arviointi. Auditoinnissa havaitut vakavat (kriittiset) poikkeamat on hyväksytysti korjattu. Asiakkaan on laadittava toimenpidesuunnitelma muiden kuin vakavien (kriittisten) poikkeamien korjaamiseksi. Muussa yhteydessä suoritettu tietoturva-auditointi kelpuutetaan myös ja sitä ei siis Virtuun liittymistä varten tarvitse suorittaa uudestaan. 16

Yhteystiedot Pekka Ristimäki Johtava asiantuntija Puh. 040 1394828 pekka.ristimaki@valtori.fi VIP Tietoturvapalvelut Asiantuntija- ja konsultointipalvelut Tietoturvapäällikköpalvelu Koulutuspalvelut Auditointi- ja tarkastuspalvelut vip.tietoturva@valtori.fi 17

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute