Auditoinnit ja sertifioinnit

Samankaltaiset tiedostot
Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Varmaa ja vaivatonta viestintää kaikille Suomessa

Viestintävirasto Varmaa ja vaivatonta viestintää kaikille Suomessa

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Liikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Viestintäviraston suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Standardit tietoturvan arviointimenetelmät

Tietoturvaa verkkotunnusvälittäjille

Kyberturvallisuus Suomessa Jarkko Saarimäki Johtaja

Sähköi sen pal l tietototurvatason arviointi

Pilvipalveluiden arvioinnin haasteet

Kyberturvallisuuden tila Suomessa Jarkko Saarimäki Johtaja

Luottamusta lisäämässä

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Ohje arviointikriteeristöjen tulkinnasta

HE 45/2011 vp. Viestintävirastolle, minkä vuoksi viestintähallinnosta annettua lakia olisi muutettava.

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Kyberturvallisuuden tila ja sähköinen tunnistaminen. FINAS-päivä

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Ajankohtaista JulkICT:stä Kirsi Janhunen VAHTI-päivä

TURVALLISUUSSELVITYSLAKI JA PUOLUSTUSVOIMIEN SIDOSRYHMÄTURVALLISUUS

Ohje tietoturvallisuuden arviointilaitoksille

Viestintävirasto TAE Liv

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Suomi.fi - Tietoturvallisuus sovelluskehityksessä. VAHTI sähköisen asioinnin tietoturvaseminaari

Varmaa ja vaivatonta viestintää

Lokitietojen käsittelystä

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Luonnos LIITE 1

OLENNAISET TOIMINNALLISET VAATIMUKSET - PÄIVITETTY LUOKITUS JA JÄRJESTELMÄLOMAKE Kela toimittajayhteistyökokous 26.4.

Standardisarja IEC Teollisuuden tietoliikenneverkot Verkkojen ja järjestelmien tietoturvallisuus

PK-yrityksen tietoturvasuunnitelman laatiminen

Turvallisuusselvityslain uudistus yritysturvallisuusselvityksissä

TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS. Tausta, tavoitteet ja tarkoitus

LINJAUS: SUOMI.FI-PALVELUVÄYLÄN KÄYTTÖVELVOITTEESTA POIK- KEAMINEN

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

Turvallisuusselvityslainsäädännön kokonaisuudistus Tausta ja keskeiset muutokset

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Virtu tietoturvallisuus. Virtu seminaari

Terveydenhuollon ATK-päivät Logomo, Turku

Varautuva, turvallinen opiskelu- ja työpaikka -reaktiivisesta kohti proaktiivista koulua

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Auditointi. Teemupekka Virtanen

Kieku-tietojärjestelmä Työasemavaatimukset sla-

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

Julkisen ja yksityisen sektorin yhteistyö kyberturvallisuudessa. Johtaja Kirsi Karlamaa

Viestintävirasto JTS LiV

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

Tietoturvapolitiikka

eresepti- ja KANTA-hankkeissa

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Yritysturvallisuuden johtamisen viitekehys Kiwa Rima

VIRTU ja tietoturvatasot

Yritysturvallisuuden johtamisen arviointi

Kyberturvallisuus vuosi 2018, 2019 & #kybersää? VAHTI-päivä Tilannekuvapalveluiden ja yhteistyöverkostojen päällikkö Jarna Hartikainen

Yritysturvallisuuden johtamisen arviointi

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

VAASAN YLIOPISTO TEKNILLINEN TIEDEKUNTA TIETOTEKNIIKKA

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Katsaus tieto- ja kyberturvallisuuden tilanteeseen. Aku Hilve JUHTA

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Tutkimuslaitosseminaari

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Tietoturvallisuuden. arviointiohje 2/2014 VAHTI. Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä

Valtioneuvoston asetus

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Lokipolitiikka (v 1.0/2015)

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Lyhyt oppimäärä mistä tietojen salauksessa on oikeasti kyse? Risto Hakala, Kyberturvallisuuskeskus, Viestintävirasto

Tuotekehitys ja yrityksen laatujärjestelmä

Kestävyyslain mukainen todentaminen

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Ohje salauskäytännöistä

Viestintäviraston tietoturvapolitiikka

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

Sosiaali- ja terveydenhuollon tietojärjestelmien valvonta

ICT kehitysnäkymät. Pelastustoimen ajankohtaispäivät Ylitarkastaja Teemu Luukko

NCSA-FI:n hyväksymät salausratkaisut

Ohje tietoturvallisuuden arviointilaitoksille

Tietoturvapolitiikka Porvoon Kaupunki

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Laatua ja tehoa toimintaan

Riippumattomat arviointilaitokset

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Viestintäviraston NCSA-toiminnon hyväksymät salausratkaisut

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Digital by Default varautumisessa huomioitavaa

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

JULKISTEN VERKKOPALVELUJEN LAATUKRITEERISTÖN KONSEPTI

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Standardien PCI DSS 3.0 ja Katakri II vertailu

Transkriptio:

Auditoinnit ja sertifioinnit

Tietojärjestelmien ja tietoliikennejärjestelmien vaatimuksienmukaisuuden arvioinnit ja hyväksynnät Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelmien tietoturvallisuuden arvioinnista (1406/2011) Viestintäviraston tehtävänä: 1) arvioida viranomaisen pyynnöstä tämän määräämisvallassa olevan tai hankittavaksi suunnitteleman tietojärjestelmän tai tietoliikennejärjestelyjen tietoturvallisuuden vaatimuksenmukaisuutta; 2) antaa tietojärjestelmälle tai tietoliikennejärjestelylle sen hyväksymistä osoittava todistus 8 :ssä säädetyllä tavalla; 3) tehdä valtiovarainministeriön pyynnöstä selvityksiä valtionhallinnon viranomaisen määräämisvallassa olevien tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta. Aki Tauriainen, Johtava tarkastaja 4.10.2016 2

Muut Viestintäviraston arviointitoimintaan liittyvät lait Laki tietoturvallisuuden arviointilaitoksista (1405/2011) TUVE-laki (10/2015) Turvallisuusselvityslaki (726/2014)» Yritysturvallisuusselvitykset Aki Tauriainen, Johtava tarkastaja 4.10.2016 3

Tekniset tietoturvallisuusarvioinnit "Auditoinnit"

Osakokonaisuudet (mahdollinen tausta-aineisto) 1. Hallinnollinen tietoturvallisuus niiltä osin kuin tarkastettava oleva järjestelmä vaatii 2. Fyysinen turvallisuus niiltä osin kuin tarkastettavana oleva järjestelmä vaatii»ym. Kohteissa käytetään aina olemassa olevaa materiaalia jonka muut turvallisuusviranomaiset tai arviointilaitos(- et)on tuottanut (raportit)» Myös muiden tekemät arvioinnit huomioidaan Aki Tauriainen, Johtava tarkastaja 4.10.2016 5

Osakokonaisuudet 3. Dokumentaatioon tutustuminen ja mahdollisten kriittisten osien määrittäminen 4. Järjestelmäkonfiguraatioiden turvallisuuden tarkastelu (Nessus, omat skriptit) 5. Aktiivinen rajapintatarkastelu (Nmap, skriptit, HPing3...) 6. Sovellusturvallisuuden tarkastelut järjestelmätyypeittäin 7. Salausratkaisujen turvallisuuden tarkastaminen 8. Käytettävyystestaukset ja kuormitustestaukset (Korostuu järjestelmissä joissa on korkea käytettävyysvaatimus, fuzzaus) 9. Yhdyskäytäväratkaisujen turvallisuuden tarkastaminen 10. Hajasäteilysuojausten todentaminen (muut viranomaiset joko etukäteen tai jälkeenpäin) 11. Luvattomien teknisten laitteiden olemassaolon todentaminen (turvallisuusviranomaiset) 12. Saatujen tietojen analysointi ja raportointi Aki Tauriainen, Johtava tarkastaja 4.10.2016 6

Arviointiperusteita KATAKRI (Kansallinen turvallisuusauditointikriteeristö), versio 2015 julkaistu ja käytössä VAHTI-ohjeet Muut kansalliset ohjeet Uusi turvallisuusselvityslaki EU/NATO järjestelmäkohtaiset vaatimukset (SSRS:t) Aki Tauriainen, Johtava tarkastaja 4.10.2016 7

Auditoinnista sertifiointiin Aki Tauriainen, Johtava tarkastaja 4.10.2016 8

Auditoinnit (arvioinnit) Vaatimuksienmukaisuuksien arviointia voi tehdä:» Itsearvioimalla» Luotettu "kolmas osapuoli"» Hyväksytty arviointilaitos Hyväksytyt arviointilaitokset ja pätevyysalueet: https://www.viestintavirasto.fi/kyberturvallisuus/tietoturvallisu udenarviointilaitokset/hyvaksytytarviointilaitokset.html» Viestintävirasto https://www.viestintavirasto.fi/attachments/viestintaviraston_ NCSA-toiminnon_suorittamat_tietoturvallisuustarkastukset.pdf Aki Tauriainen, Johtava tarkastaja 4.10.2016 9

Sertifioinnit (hyväksynnät) Lain 1406/2011 mukaisesti Viestintävirasto antaa tietojärjestelmälle tai tietoliikennejärjestelmälle todistuksen vaatimuksienmukaisuuden täyttymisestä» Edellyttäen, että järjestelmässä havaittujen poikkeamien jäännösriskit on tunnistettu ja hallinnassa Hyväksyntäpyyntölomake: https://www.viestintavirasto.fi/attachments/loma kkeet/ncsa-tarkastuspyyntolomake.doc Aki Tauriainen, Johtava tarkastaja 4.10.2016 10

Havaintoja tietojärjestelmien tarkastustoiminnasta Tietoturvan resursointi Ilman omaa asiantuntemusta on lähes mahdotonta huolehtia toiminnan turvallisuudesta ja pitää sitä yllä Ilman johdon tukea ei voi tehdä mitään Tietoturva ulkoistuksissa Ilman sopimusvelvoitteita ulkoistuskumppanit eivät välttämättä huomioi tietoturvaa riittävästi Esimerkiksi lokitietojen saaminen ja häiriöiden raportointi. Suojattavan kohteen määrittely Ilman selvää kohdetta työ epäonnistuu tai ainakin tulee paljon turhaa työtä Esimerkiksi mitä suojataan, kuinka paljon, kuka omistaa... Aki Tauriainen, Johtava tarkastaja 4.10.2016 11

Havaintoja tietojärjestelmien tarkastustoiminnasta Verkkorakenteiden järkevyys Suojattava kohteen riittävä eriyttäminen muista järjestelmistä. Huomioitava järjestelmän lisäksi taustajärjestelmät, levypalvelimet, keskitetty hallinto, tulostus... Seurattavuus ja seuranta Kuka teki mitä ja milloinkin. Esimerkiksi käytetäänkö henkilökohtaisia tunnuksia, lokitetaanko ja seurataanko lokeja, voidaanko poikkeamia havainnoida... Ajantasaiset tietoturvapäivitykset Päivittämättömyys suurimpia tietoturvauhkia Työasemat yleensä on päivitetty (pois lukien kolmannen osapuolen ohjelmistot) Palvelimissa ja palvelinsovelluksissa on korjattavaa Aki Tauriainen, Johtava tarkastaja 4.10.2016 12

Salaustuotteiden, järjestelmien ja verkkojen tarkastus ja hyväksyntä (NCSA) Kansallisen ja kansainvälisen luokitellun tiedon suojaaminen Yritysturvallisuuden parantaminen Tietoturvallisuuden arviointilaitosten valvonta Viennin edistäminen Aki Tauriainen, Johtava tarkastaja 4.10.2016 13

www.kyberturvallisuuskeskus.fi www.viestintävirasto.fi

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute