VALTION IT-JOHTORYHMÄN KOKOUS

Samankaltaiset tiedostot
Ohje: Identiteetin hallinnan tietoturvatasot (LUONNOS)

Valtion IT-palvelukeskuksen (VIP) palvelut. JulkIT Anna-Maija Karjalainen

VALTIONHALLINNON TIETOTURVATASOT - ESITUTKIMUS VALTION IT-TOIMINNAN JOHTAMISYKSIKÖN (VALT-IT) VALTIOVARAINMINISTERIÖ

Tietoturvapolitiikka

PÖYTÄKIRJA

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Valtion IT-palvelukeskuksen perustaminen: 69 päivää. Yliopistojen IT päivät / Lasse Skog

VIRKAMIEHEN TUNNISTAMINEN JA KÄYTTÖOIKEUKSIEN HALLINTA HANKE

Ajankohtaista Virtu-palvelussa

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Voiko valtionhallinnon tietojärjestelmien nykytilaa kuvata? Aki Siponen Valtiovarainministeriö

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

KuntaIT Mikä muuttuu kunnan tietotekniikassa? Terveydenhuollon Atk-päivät Mikkeli Heikki Lunnas

Valtion IT-palvelukeskuksen (VIP) hyödyt valtiokonsernille. Valtio Expo Anna-Maija Karjalainen

Valtiokonttorin hankkeiden esittely - erityisesti KIEKU-ohjelma. ValtIT:n tilaisuus

Valtiokonttori Käyttöönotto 1 (6) suunnitelma Virtu Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

VIRTU ja tietoturvatasot

Tietoturvallisuuden ja tietoturvaammattilaisen

Käyttövaltuushallinnan hyödyt tehokkaasti käyttöön. Johanna Lampikoski, RM5 Software Juha Arjonranta, TeliaSonera Finland

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Käyttäjän tunnistus yli korkeakoulurajojen

Valtion lupa- ja valvontavirasto (Luova) Perustetaan

Vihdin kunnan tietoturvapolitiikka

VAHVA - Valtioneuvoston asianhallinta ja prosessit uudistuvat

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Digipäivä, Hallintoryhmä Sipoo

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Kertakirjautumisella irti salasanojen ryteiköstä

Pyyntö OKM Nimeämispyyntö Kieku-tietojärjestelmähankkeen organisointi OKM:n hallinnonalalla

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

Suorin reitti Virtu-palveluihin

Opetusministeriön hallinnonalan talous- ja henkilöstöhallinnon palvelukeskushanke OPM-PAKE Yliopistojen palvelukeskusprojekti

Kieliaineistojen käyttöoikeuksien hallinnan tietojärjestelmä

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Valtion IT-palvelukeskus (VIP) Anna-Maija Karjalainen

Tuloksellisuutta tekemässä Tietopolitiikka, ICT ja TORI

Aloite Onko asioiden esittämistapa riittävän selkeä ja kieleltään ymmärrettävä?

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Yritysturvallisuuden johtamisen arviointi ja hallintamalli

Kieku-tietojärjestelmähankkeen tilannekatsaus. Kiekun infotilaisuus Valtiokonttori Lasse Skog

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Arkkitehtuurinäkökulma

JHS-järjestelmä ja avoimet teknologiat. Tommi Karttaavi

Aika Tiistaina klo 12 Paikka Valtioneuvoston linna, neuvotteluhuone Euro

JHS-järjestelmä. Tommi Karttaavi

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

Sovelto Oyj JULKINEN

Federoidun identiteetinhallinnan

Valtioneuvoston yhteinen asianhallintajärjestelmä VAHVA. Suvi Albert, hankepäällikkö. 1 #VNvahva #digivn. I Valtioneuvoston kanslia I vnk.

Työpaja 3: ICT-tuen jatkovaihe tavoitetila ja kehittämiskohteet

Sisäasianministeriön toimenpiteet henkilöstöhallinnon yhtenäistämiseksi

Väliaikaishallinnon tiedonohjaussuunnitelma ja tehtäväluokitus projekti

Ohjauksen uudet tuulet valtiovarainministeriön näkökulma hallinnon uudistumiseen. Palkeet foorumi Alivaltiosihteeri Päivi Nerg ltanen, VM

TAPAS - puheenvuoro - TAPAS-päätösseminaari Tommi Oikarinen, VM / JulkICT

Sote-ICT Alustavia arvioita kustannuksista ja resurssitarpeista

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

Virtu tietoturvallisuus. Virtu seminaari

Webinaarin sisällöt

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

ICT-VARAUTUMINEN VALTIT-INFO

Tietoturvapolitiikka

VALDA-tietojärjestelmän j versio 1

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASIANTUNTIJAJAOSTON ASETTAMINEN

Tietohallinto Projektipäällikkö Matti Sairanen. Fujitsu Myyntijohtaja Markku Örn

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

evare Jatkuvuuden hallinnan ja tiedon turvaamisen vaatimukset Lausuntokooste

Mitä talous- ja henkilöstöhallintostrategiat 2020 edellyttävät asiantuntijoiden osaamiselta? asiantuntijan ammattiroolin muutos

TIETOSUOJAPOLITIIKKA LAPPIA KONSERNI. Hyväksytty: Yhteistyötoimikunta , asiakohta 28 Yhtymähallitus , asiakohta 103

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Kansallinen palveluarkkitehtuuri Tilannekatsaus JUHTA O-P Rissanen

SFS-ISO/IEC Tietoturvallisuuden hallintajärjestelmät. Ohjeistusta. Riku Nykänen

Kansallinen paikkatietostrategia Toimeenpanon tilanne. Pekka Sarkola Poscon Oy

Tietoturvapolitiikka Porvoon Kaupunki

Tiedonhallintalakiehdotus - vaikutukset Tommi Oikarinen / valtiovarainministeriö

Tietoturvapalvelut valtionhallinnolle

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

Kuntasektorin kokonaisarkkitehtuuri

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

IT Service Desk palvelun käyttöönotto palvelukeskuksissa

Sähköisten viranomaisaineistojen arkistoinnin ja säilyttämisen palvelukokonaisuus

Valtori tänään ja huomenna Valtorin strategia. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Sähköinen asiointi ja palvelut Miten tästä eteenpäin?

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Heikki Talkkari / VM

Potilasturvallisuuden johtaminen ja auditointi

Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta hankkeen esitutkimusraportti. Luonnos

Federoidun identiteetinhallinnan periaatteet

ValtIT tiedotus ja keskustelutilaisuus Leena Honka valtion IT johtaja Valtiovarainministeriö Valtion IT toiminnan johtamisyksikkö

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Maakunnan digipalvelut järjestämistehtävässä

Yhteentoimivuuden kehittämisohjelma. Valtionhallinnon kokonaisarkkitehtuurin suunnittelu hanke

Valtionhallinnon arkkitehtuurin kehittäminen

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Jatkuvuuden varmistaminen

Toimeenpano vuonna 2011 Loppuraportointi

Julkisen hallinnon kokonaisarkkitehtuuri JHKA

TIETOTURVAPOLITIIKKA

Käyttöönottosuunnitelma Virtu-palveluntarjoajalle

PÖYTÄKIRJA Hallinnon kehittämisosasto Valtion IT-toiminnan johtamisyksikkö ValtIT Marja-Leena Viitala

Uudistuva sosiaali- ja terveydenhuolto

Transkriptio:

VALTIOVARAINMINISTERIÖ PÖYTÄKIRJA VM101:00/2005 Valtion IT-toiminnan johtamisyksikkö Leena Honka 17.7.2007 VALTION IT-JOHTORYHMÄN KOKOUS Aika ja paikka Osallistujat Poissa Asiantuntijat Jakelu 18.6.2007 klo 9, Valtioneuvoston linna, neuvotteluhuone Euro Turunen Juhani, alivaltiosihteeri, valtiovarainministeriö (pj) Aaltonen Heikki, alivaltiosihteeri, valtioneuvoston kanslia (Risto Volasen varamies) Haukirauma Heikki, tietohallintojohtaja, työministeriö Karjalainen Jorma, ylijohtaja, valtiovarainministeriö Honka Leena, valtion IT johtaja, valtiovarainministeriö (sihteeri) Volanen Risto, valtiosihteeri, valtioneuvoston kanslia Viljanen Ritva, kansliapäällikkö, sisäasiainministeriö Skog Harri, kansliapäällikkö, opetusministeriö Hautojärvi Sirkka, kansliapäällikkö, ympäristöministeriö Soini Kristiina, johtaja, Ilmatieteen laitos Koli Markku, operaatiopäällikkö, Pääesikunta Terho Arja, neuvotteleva virkamies, valtiovarainministeriö (sihteeri) Rissanen Olli-Pekka, erityisasiantuntija, valtiovarainministeriö Romppanen Minna, projektipäällikkö, valtiovarainministeriö Salmenkivi Toini, projektipäällikkö, valtiovarainministeriö Osallistujat, poissaolijat, asiantuntijat, Valdo-järjestelmä ASIAT Etukäteen lähetetty asialista 1. Kokouksen avaus 2. Edellisen kokouksen pöytäkirjan hyväksyminen 3. Yhteiset tietojärjestelmät kehittämisohjelman kärkihankkeet, Olli-Pekka Rissanen ja Toini Salmenkivi 1. Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta (VIRTU) 2. Dokumentinhallinta ja arkistointi (VALDA) 4. Tietoturvatasot kärkihanke (Minna Romppanen) 5. Valtion IT-palvelukeskuksen tilanne (Leena Honka) 6. Muut asiat 7. Kokouksen päättäminen. Kokouksen avaus Puheenjohtaja avasi kokouksen. Asialistan kohta 5 päätettiin siirtää seuraavaan kokoukseen. Valtioneuvoston kanslian edustajan Heikki Aaltosen esityksestä päätettiin, että jatkossa Heikki Aaltonen on Risto Volasen sijaan valtioneuvoston kanslian vakituinen edustaja valtion ITjohtoryhmässä. Edellisen kokouksen pöytäkirjan hyväksyminen Hyväksyttiin edellisen kokouksen pöytäkirja. Virkamiehen tunnistaminen ja käyttöoikeuksien hallinta (Olli-Pekka Rissanen) Olli-Pekka Rissanen esitteli virkamiehen tunnistamiseen ja käyttöoikeuksien hallintaan liittyvää esitutkimusraporttia oheisen materiaalin mukaisesti (liite 1). Tavoitteena oli pyytää esitutkimusraportista lausunnot syyskuun 2007 aikana. VALTIOVARAINMINISTERIÖ PL 28 00023 VALTIONEUVOSTO PUH. (09) 16001

2 (2) Esityksessä korostettiin sitä, että kysymyksessä ei ole virkakortin käyttöönotto koko valtionhallinnolle, vaan edellytysten luonti sen mahdolliselle laajemmalle käytölle. Keskustelua: Asia on vaikeaselkoinen muille kuin alan asiantuntijoille. Sen vuoksi jatkoesittelyssä ja käsittelyssä tulee painottaa käytännön läheisyyttä, termien täsmentämistä ja esimerkkejä. Esiteltyjen ratkaisujen lisäksi tulee täsmentää tunnistamiseen liittyvää politiikkaa ja toimintaperiaatteita. Tehtävä ratkaisu koskisi aluksi vain valtionhallintoa. Päätös: Hyväksyttiin esitutkimusraportin yleisperiaatteet ja sen lähettäminen lausunnolle suunnitelman mukaisesti. Lausuntoyhteenveto ja tunnistamiseen liittyvä politiikka käsitellään IT-johtoryhmässä uudelleen, ennen kuin toteuttamistyötä jatketaan. Seuraavaan kokouksen asialistan yhteydessä esitutkimuksen ratkaisuehdotuksesta lähetetään osallistujille yhden sivun tiivis yhteenveto. Dokumentinhallinta ja arkistointi (Toini Salmenkivi) Toini Salmenkivi esitteli dokumentinhallintaan ja arkistointiin liittyvää esitutkimusraporttia oheisen materiaalin mukaisesti (liite 2). Tavoitteena oli saada esitutkimusraportista lausunnot syyskuun 2007 aikana. Valtionhallinnossa on tällä hetkellä tekeillä useita asianhallinnan järjestelmiä useissa ministeriöissä, esim. UM, TM, STM, SM ja VM/ VNTHY. VALDA-järjestelmässä on tarkoitus ottaa huomioon niihin suunnitellut keskeisimmät piirteet. Tarkoituksena on saada lääninhallitukset VALDAjärjestelmän ensimmäisiksi käyttäjiksi. Päätös: Hyväksyttiin esitutkimusraportin yleisperiaatteet ja sen lähettäminen lausunnolle suunnitelman mukaisesti. ValtIT sai valtuudet jatkaa hankkeen toteutuksen jatkovalmistelua. Hanke tuodaan uudelleen esittelyyn loppuvuoden aikana. Seuraavaan kokouksen asialistan yhteydessä esitutkimuksen ratkaisuehdotuksesta lähetetään osallistujille yhden sivun tiivis yhteenveto. Tietoturvatasot kärkihanke (Minna Romppanen) Minna Romppanen esitteli esitutkimusraportin oheisen materiaalin mukaisesti (liite 3). Tavoitteena oli saada esitutkimusraportista lausunnot syyskuun 2007 aikana. Päätös: Hyväksyttiin esitutkimusraportin yleisperiaatteet ja sen lähettäminen lausunnolle suunnitelman mukaisesti. ValtIT sai valtuudet jatkaa hankkeen toteutuksen jatkovalmistelua, ja hanke tulee tuoda uudelleen esittelyyn loppuvuoden aikana. Hankkeen prioriteetti on korkea. Muut asiat Sovittiin, että syksyn kokousaikataulu järjestellään sähköpostin välityksellä. Seuraavat kokousajat on sovittu kokouksen jälkeen: Perjantai 14.9.2007 klo 13-15 Torstai 25.10.2007 klo 14-16 Torstai 29.11.2007 klo 14-16 Torstai 10.1.2007 klo 14-16. Kokouksen päättäminen Puheenjohtaja totesi kokouksen päättyneeksi.

Valtion virkamiehen tunnistaminen ja käyttöoikeuksien hallinta (Virtu) Ohjausryhmän kokous 14.6.2007 Mikael Linden Tieteen tietotekniikan keskus CSC

Puitteet Esiselvitysvaihe 11/2006-5/2007 Loppuraportti tarkoitus laittaa lausuntokierrokselle ministeriöihin ja virastoihin Esiselvitysvaiheessa projektipäällikkö Mikael Linden lainassa CSC:ltä konsulttina TietoEnator GMR

Käyttäjän tunnistus yli virastorajojen ( federoitu identiteetti ): Virasto A Paikalliset käyttäjätunnukset Esim. Personec travel Virasto B Paikalliset käyttäjätunnukset WWW esim. Väestötietojärjestelmä Virasto C (esim. VRK) WWW Paikalliset käyttäjätunnukset

Virtu ei ole Ei digitaalista allekirjoitusta eikä sähköpostin salausta Vaan www-ympäristössä tapahtuva sisäänkirjautuminen Ei kansalaisen tai yrityksen tunnistusta Vaan loppukäyttäjä palvelussuhteessa valtioon Ei ota kantaa autentikointitapaan, ei vaadi virkavarmenteita Luo kuitenkin edellytyksiä ja painetta sille Ei ratkaise virastojen sisäisen käyttäjähallinnon haasteita Vaan edellyttää, että virastot ratkaisevat ne tahollaan Ei luo valtionhallintoon keskitettyä käyttäjähakemistoa Vaan virastot ylläpitävät virkamiestensä käyttäjätietoa omissa hakemistoissaan

Osapuolet ja työnjako 1/2 Kotiorganisaatio Tunnistuslähde (Identity Provider, IdP) Virasto1 Virasto2 Virasto3 Virasto4 Palvelukeskus Virasto5 Virasto6 Palvelukeskus y Palveluntarjoajat Service Provider, SP Ostolaskun hallinta (Rondo) Matkahallinta (Personec Travel) Henkilöstörekisteri (Kieku-hankinta) Ajoneuvotietojärjestelmä Väestötietojärjestelmä Virkamiehen tunnistamisen luottamusverkosto eli federaatio jne Kotivirasto ylläpitää virkamiehen perustietoja (nimi, yhteystiedot, ym) ja rooleja Kotivirasto autentikoi virkamiehen (salasanalla, virkakortilla ) Kotiorganisaatio luovuttaa virkamiehen ominaisuuksia eli attribuutteja palveluntarjoajalle Palveluntarjoaja päättää attribuuttien avulla perusteella, millainen näkymä virkamiehelle avautuu palvelussa

Osapuolet ja työnjako 2/2 ValtIT-palvelukeskus on luottamusverkoston koordinaattori Määrittelee luottamusverkoston periaatteet ja toimintakäytännöt kuka voi liittyä ja miten se tapahtuu Mitkä ovat vähimmäisvaatimukset liittyjälle (kytkös: tietoturvatasot-hanke) Valitsee luottamusverkostolle operaattorin Järjestää keskitetun tunnistuslähteen (IdP) virastoille, jotka eivät halua hankkia sitä itse Luottamusverkoston operaattori kilpailutetaan Vastaa luottamusverkoston teknisestä päivittäisestä toiminnasta

Esimerkkejä kotiviraston tunnistuslähteen (IdP) toteutuksista Virasto a Virasto b Virasto c Virasto d Virasto e IdP IdP Hallinnonala IdP Firma SP/Rondo SP/Travel SP/VTJ SP/jne Virasto f Virasto g IdP ValtIT-palvelukeskuksen keskitetty palvelu

Esimerkkejä palveluiden (SP) toteutuksesta IdP SP Sovellus Suora integraatio sovellukseen IdP SP Sovellus Sovellus Edustalla erityinen pääsynvalvoja, joka peittää sovellukset taakseen IdP IdP proy Sovellus Sovellus IdP Proy sovittaa yhteen eri protokollat

Vaihtoehdot valtuuttamisen sijoittumisesta esim. Rondo Nykymalli IdP Hän on Ville Virkamies SP Ville Virkamies on hyväksyjäroolissa vastuualueessa IT-rooli IdP Hän on Ville Virkamies ja hyväksyjäroolissa vastuualueessa SP Työrooli IdP Hän on Ville Virkamies ja :n yksikönjohtaja SP Yksikönjohtajilla on aina hyväksyjärooli

Kustannusarvioita: nykymalli Lähtökohtana työaika, joka helpdeskillä menee salasanojen resetointiin ja uusien käyttäjien perustamiseen Arvio työajasta: Virastorajat ylittäviä sovelluksia Kullakin sovelluksella käyttäjiä Tarkastelujakson pituus Helpdesk yht. (kerrotaan keskenään) 5e/hlö/sovellus/vuosi 10 kpl 50 000 hlöä 5 vuotta 12,5 milj. euroa Piilokustannuksen suuruus: oletetaan että loppukäyttäjän työaikaa valuu hukkaan yhtä paljon 12,5 milj. euroa NYKYISET KUSTANNUKSET YHTEENSÄ 25 milj. euroa

Kustannusarvioita: Virtu-malli Oletuksena mm. Palveluja 10 Käyttäjiä keskimäärin 50 000 lisenssihinta 20e/käyttäjä/vuosi Yhden järjestelmän Virtu-sovitus 20 000 50 000 e Operaattorin palvelut maksavat 120 000 150 000 e/vuosi Koordinaattorin työpanos 60 000e/vuosi Tarkastelujakson pituus 5 vuotta Loppuraportissa Virtu-mallin kustannuksiksi saatiin näin 6,4-11,4 milj. euroa

Ehdotukset jatkotoimenpiteiksi 1/2 1. Virtu-toteutusvaihe (yksi vuosi) alkaen 1.10.2007 Koordinaattorin ja operaattorin toiminnan käynnistäminen Mahdollisuuksien mukaan Valtiokonttorin ensimmäisten palveluiden (Rondo ja Travel) saaminen Virtu-kirjautumisen piiriin kahden ensimmäisen viraston loppukäyttäjille Yhteistyö Tietoturvatasot-hankkeen kanssa käyttäjähallinnon minimivaatimuksien määrittelyssä 2. Virastojen sisäisen käyttäjähallinnon kehitystyön tukeminen Seminaarisarja virastojen käyttäjähallintovastaaville

Ehdotukset jatkotoimenpiteiksi 2/2 Myöhemmin toteutettavia laajennuksia olisivat Käyttövaltuushallinta Alkuvaiheessa liikkeelle siis lähinnä pelkästä tunnistamisesta Kuntien virkamiesten ottaminen mukaan Virtuun Kunnan virkamiehet kirjautuvat valtion palveluihin; valtion virkamiehet kirjautuvat kuntasektorin palveluihin Kunnilla oma VIRTUK-hanke, jonka esiselvitys lähdössä kommenttikierrokselle

Valtion IT-johtoryhmä Yhteiset tietojärjestelmät - kehittämisohjelma dokumentinhallinta ja arkistointi (VALDA-hanke) 18.6.2007 VALTIOVARAINMINISTERIÖ Valtion IT-toim johtyksikkö / Toini Salmenkivi 18.6.2007 1

Dokumentinhallinta ja arkistointi -hankkeen tuloksena 1 koko valtionhallinnolle on rakennettu dokumentinhallinnan ja arkistoinnin kokonaisratkaisu, jossa hallinnonalat käyttävät yhteistä tai yhteensopivia ratkaisuja ja jonka avulla dokumentinhallinnan/asianhallinnan prosessit voidaan tehostaa koko valtionhallinnossa asiakirjojen koko elinkaari laadinnasta hävittämiseen tai pysyvään säilytykseen hoidetaan sähköisesti VALTIOVARAINMINISTERIÖ Valtion IT-toim johtyksikkö / Toini Salmenkivi 18.6.2007 2

Dokumentinhallinta ja arkistointi -hankkeen tuloksena 2 asioiden hallinta hoidetaan sähköisesti dokumentinhallinta ja arkistointi sekä asianhallinta on integroitu sähköiseen asiointiin ja operatiivisiin tietojärjestelmiin valtionhallinnossa on määrämuotoiset rajapinnat sekä virastojen asianhallintajärjestelmien väliseen sekä ulkoiseen tiedonvälitykseen. VALTIOVARAINMINISTERIÖ Valtion IT-toim johtyksikkö / Toini Salmenkivi 18.6.2007 3

VALDA-esitutkimuksen tarkastelualue Asian käsittely Asiat Aiheen käsittely Aiheet Dokumenttien käsittely Dokumentit Asiakirjojen käsittely Asiakirjat Operatiiviset järjestelmät Operatiiviset tiedot VALTIOVARAINMINISTERIÖ Valtion IT-toim johtyksikkö / Toini Salmenkivi 18.6.2007 4

VALDAn tavoitearkkitehtuuri VALTIOVARAINMINISTERIÖ Valtion IT-toim johtyksikkö / Toini Salmenkivi 18.6.2007 5

Täyden VALDA-palvelukokonaisuuden vaiheittainen rakentaminen Ensimmäinen vaihe asiakirjanvälitysrajapinnan suunnittelu ja toteutus rinnakkain sähköisen asioinnin palveluiden rakentamisen kanssa käyttöönottovalmiin tietojärjestelmäkokonaisuuden rakentaminen virastoille (VALDA.ASP-järjestelmä). Myöhemmät vaiheet ensimmäisestä vaiheesta poisjäävien palveluiden suunnittelu ja toteutus mahdollisuus integroida yksittäinen VALDA-palvelu osaksi organisaation omaa tietojärjestelmää. VALTIOVARAINMINISTERIÖ Valtion IT-toim johtyksikkö / Toini Salmenkivi 18.6.2007 6

VALDA-aikataulu VM 20.6.2007 2006 2007 2008 2009 2010 2011 VALDA.ASP-järjestelmä Esitutkimus Vaatimusmäärittely Kilpailutus, suunnittelu ja toteutus Käyttöönotto ja tuotantokäyttö Asiakirjanvälitysrajapinta Vaatimusmäärittely Suunnittelu ja toteutus sekä käyttöönotto VALTIOVARAINMINISTERIÖ Valtion IT-toim johtyksikkö / Toini Salmenkivi 18.6.2007 7

ValtIT-johtoryhmälle esitetään, että esitutkimuksen loppuraportti lähetetään lausunnolle syksyllä 2007 saadaan käynnistää VALDA.ASP-järjestelmän vaatimusmäärittely saadaan käynnistää asiakirjanvälitysrajapinnan suunnittelu yhteistyössä sähköisen asioinnin palveluiden suunnittelun kanssa toisessa vaiheessa suunnitellaan ja toteutetaan laajempi ratkaisu toisen vaiheen aikataulu valmistellaan erikseen. VALTIOVARAINMINISTERIÖ Valtion IT-toim johtyksikkö / Toini Salmenkivi 18.6.2007 8

Valtionhallinnon tietoturvatasot T T T esitutkimus-vaiheen päätulokset 18.6.2007 ValtIT Minna Romppanen, VM/HKO minna.romppanen@vm.fi www.valtit.fi 1

Tavoitteena löytää organisaatioille - ja suojattaville kohteille yhteinen perusturvataso hahmottaa soveltuva korkea turvataso niille, joilla on toiminta ja järjestelmät ovat yhteiskunnan kannalta keskeisiä. 2

Organisaation strategiat ja tehtävät yhteiskunnassa Tietoturvapolitiikat ja ohjeet Tieto-omaisuuden luokittelu Tietoturvallisuuden hallinnan suunnittelu Toipumissuunnittelu Valmiussuunnittelu Säädökset, normit ja hyvät käytännöt Tietoturvallisuuden hallinta Tietoturvatasojen ylläpito Turvattavien kohteiden tunnistaminen ja valinta Turvatason määrittäminen Turvamekanismien valinta Tietoturvatoimien ja menetelmien käyttöönotto Turvallisuusanalyysit ja tutkimukset Turvamekanismien käyttöönotto Tietoturvallisuuden hallinnan arviointi Ulkoiset auditoinnit Ylläpito ja käytöstä poisto Sidosryhmien odotukset ja vaatimukset Sertifiointi Sisäiset auditoinnit Tekniset auditoinnit Turvakontrollit Tietoturvatietoisuuden parantaminen, ylläpito ja henkilöstön motivointi Tietoturvallisuuden hallinta Esitutkimus Päätös Kilpailutus Toteutus organisaatiossa alkaa Tuotantoon - siirto Liittymät tulosohjaukseen ja taloudenhallintaan Liittymät laadunhallintaan Liittymät tietohallintoon Liittymät muuhun turvallisuuteen: -Turvallisuusjohtaminen -Riskienhallinta -Tuotantotoiminnan jatkuvuuden varmistaminen -Henkilöstöturvallisuus -Ympäristöturvallisuus -Pelastustoiminta -Jatkuvuussuunnittelu -Kiinteistö- ja toimitilaturvallisuus -Ulkomaantoimintojen turvallisuus -Rikosturvallisuus Tuotanto ja yll äpito 1. Ydintoimintojen tunnistaminen ja hallinta 2. Johtaminen ja tulosohjaus 3. Riskien hallinta 4. Henkilöstöjohtaminen 5. Kumppanuuksien hallinta 6. Resurssien hallinta 7. Suunnittelu ja kehittäminen 8. Kustannusten hallinta 9. Turvallisuuden arviointi ja valvonta 10. Vaatimustenmukaisuus 11. Hankintojen hallinta ERITYISTASO KORKEA TASO KOROTETTU TASO PERUSTASO Vaihe Ylläpito VAHTIohjeiston Investointi- Kustannukset yht. Ylläpito yht. 5 htv 2,8 htv Organisaation tietoturvallisuuden hallinnan kypsyyden arviointiohjeet (jatkohanke) Oma virkatyö Kypsyystasot tietoturvallisuuden hallinnalle (TH) Tasot 1, 2, 3, 4, 5 (jatkohanke) 0,3 M 0,2 M 1,7-2,1 M 0,8-0,9 M Ostettava konsulttityö 0-3 htv 0-1 htv 10/2007-12/2008 1/2009 -> / v. 0 0,4 M 0-0,1 M Ohjeiston käyttöopas ja asiahakemisto (jatkohanke) Turvatasot Turvatasot Suositukset kohteiden ja kohteiden ratkaisut turvaamiseksi (KT) turvaamiseksi Tasot (KT) 1, 2, 3, 4, 5 (KT) (jatkohanke, luonnos olemassa) 8 htv 4 htv Turvatasot Turvatasot tietoturvallisuuden tietoturvallisuuden hallinnalle (TH) hallinnalle (TH) Tasot 1, 2, 3, 4, 5 (luonnos) Hallinnolta virkatyötä 0,5 M 0,3 M Välineet *) 0,9 M *) 0,3 M *) sisältää Investointikustannukset Kustannukset Työmäärä Kustan- Nukset Työmäärä Kustannukset Työmäärä rakenteis -tamisen. Laki- ja määräyskokoelma (luonnos) Ohjeet (jatkohanke) Yleinen osa Turvatasojen auditointiohje Suositukset ja ratkaisut tietokanta/kortisto (jatkohanke) Turvatasot Turvatasot Turvatasot kohteiden kohteiden kohteiden turvaamiseksi (KT) turvaamiseksi (KT) turvaamiseksi (KT) Tasot 1, 2, 3, 4, 5 (luonnos) Turvatasot Turvatasot Suositukset kohteiden ja kohteiden ratkaisut turvaamiseksi (KT) Tasot (KT) turvaamiseksi (KT) 1, 2, 3, 4, 5 (jatkohanke, 2 kpl tekeillä) 3 laajaa tulososiota Lähestyminen tietoturvatasoihin; käsitemallit TOISTETTAVA MÄÄRITELTY HALLITTU HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT OPTIMOITU OPTIMOITU HALLITTU MÄÄRITELTY PERUSTASO KOROTETTU TASO KORKEA TASO HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT ERITYISTASO TOISTETTAVA Tietoturvallisuutta tukeva ohjeistorakenne ja käytännöt Organisaation päivittäinen toiminta Perustasolle pääsemiseksi toteuttamissuunnitelma, aikataulu ja kustannusarvio Turvat- Normien Päätös Riskien P tavien P tutki- hallinta kohteiden minen määrittely Tavoitetason määritys Varautumisen määrittely Käytäntöjen + kulttuurin luominen Auditointi Vuosittain, uusi iterointi auditoinnin jälkeen paluu alkuun Organisaation omat kohteet Kaiku (VK) + Huovi kohteet (HVK) Välineitä Suomen mm. Koulutus- Normi- kannalta, VAHTIaineistotluettelo YETT ym. pyramidi, lelut ym. (VM) ohjeisto ym. välineet Raportointi Netra (VK) Karkea kustannuslaskelma: investointi ja ylläpito 3

Turvatasot ERITYISTASO KORKEA TASO KOROTETTU TASO PERUSTASO ovat valittuihin kohteisiin kohdistuvia luokiteltuja ja skaalattuja vaatimuksia. 4

Turvattavan kohteen turvatasot PERUSTASO KOROTETTU TASO KORKEA TASO 1. Ydintoimintojen tunnistaminen ja hallinta 2. Johtaminen ja tulosohjaus 3. Riskien hallinta 4. Henkilöstöjohtaminen 5. Kumppanuuksien hallinta 6. Resurssien hallinta 7. Suunnittelu ja kehittäminen 8. Kustannusten hallinta 9. Turvallisuuden arviointi ja valvonta 10. Vaatimustenmukaisuus 11. Hankintojen hallinta HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT ERITYISTASO ERITYISTASO KORKEA TASO KOROTETTU TASO PERUSTASO 5

Turvatasovaatimus edellyttää organisaatiolta kypsyyttä ORGANISAATIO OPTIMOITU ERITYISTASO HALLITTU KORKEA TASO MÄÄRITELTY KOROTETTU TASO TOISTETTAVA PERUSTASO KYPSYYSTASOT KUVAVAAT ORGANISAATION JOHTAMISEN, TURVAPROSESSIEN JA TURVATOIMENPITEIDEN KEHITTYNEISYYTTÄ TURVATASOT OVAT LUOKITELTUJA TURVATOIMENPIDE- JA MENETTELYVAATIMUKSIA 6

Kypsyyskuutio organisaation tasosta HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT TOISTETTAVA MÄÄRITELTY HALLITTU OPTIMOITU TOISTETTAVA MÄÄRITELTY HALLITTU OPTIMOITU 1. Ydintoimintojen tunnistaminen ja hallinta 2. Johtaminen ja tulosohjaus 3. Riskien hallinta 4. Henkilöstöjohtaminen 5. Kumppanuuksien hallinta 6. Resurssien hallinta 7. Suunnittelu ja kehittäminen 8. Kustannusten hallinta 9. Turvallisuuden arviointi ja valvonta 10. Vaatimustenmukaisuus 11. Hankintojen hallinta KYPSYYS MÄÄRITTÄÄ, MITEN KYVYKÄS ORGANISAATIO ON TURVALLISUUDEN HALLINNASSA

Kypsyyskuutio organisaation tasosta HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT PERUSTASO KOROTETTU TASO KORKEA TASO ERITYISTASO 1. Ydintoimintojen tunnistaminen ja hallinta 2. Johtaminen ja tulosohjaus HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT TOISTETTAVA MÄÄRITELTY HALLITTU OPTIMOITU 3. Riskien hallinta 4. Henkilöstöjohtaminen 5. Kumppanuuksien hallinta 6. Resurssien hallinta 7. Suunnittelu ja kehittäminen 8. Kustannusten hallinta 9. Turvallisuuden arviointi ja valvonta 10. Vaatimustenmukaisuus 11. Hankintojen hallinta

Kypsyys, turvattavat kohteet ja turvataso ORGANISAATION KYPSYYS (MATURITEETTITASO) 1) Organisaation tulee olla tarpeeksi kypsä turvaamaan valitut, turvattavat kohteet 2) Kypsyys on organisaation kyvykkyyttä hallita tietoturvallisuutta 3) Kypsyyttä arvioidaan yhteisesti sovituin kriteerein TURVAVATTAVAT 1) Valittu yhteiskunnan kannalta tärkeiden toimintojen perusteella 2) Valittu yksittäisen organisaation toiminnan perusteella 3) Organisaatioiden yhteinen nimeämistapa tärkeä TURVATASO (VAATIMUSTASO) 1) Turvatasot ovat luokiteltuja turvatoimenpide- ja menettelyvaatimuksia 2) Turvatason tehtävä on turvata tietty kohde tai kohderyhmä 9

Organisaatioiden yhteistyössä kypsyys ja turvataso varmistetaan turvattavissa kohteissa ERITYISTASO ORGANISAATIO A OPTIMOITU OPTIMOITU HALLITTU HALLITTU KORKEA TASO MÄÄRITELTY MÄÄRITELTY KOROTETTU TASO TOISTETTAVA TOISTETTAVA PERUSTASO ORGANISAATIO B KYPSYYSTASOT KUVAVAAT ORGANISAATION JOHTAMISEN, TURVAPROSESSIEN JA TURVATOIMENPITEIDEN KEHITTYNEISYYTTÄ TURVATASOT OVAT LUOKITELTUJA TURVATOIMENPIDE- JA MENETTELYVAATIMUKSIA 10

Kypsyys ja turvataso tulee sisältyä oman toiminnan lisäksi hankittaviin palveluihin ERITYISTASO TURVATTAVA PALVELU ORGANISAATIO OPTIMOITU HALLITTU OPTIMOITU KORKEA TASO TURVATTAVA PALVELU MÄÄRITELTY VAADITTU TURVATASO HALLITTU TURVATTAVA PALVELU TOISTETTAVA MÄÄRITELTY PERUSTASO TURVATTAVA PALVELU PALVELUN TOIMITTAJA KYPSYYSTASOT KUVAVAAT ORGANISAATION JOHTAMISEN, TURVAPROSESSIEN JA TURVATOIMENPITEIDEN KEHITTYNEISYYTTÄ TURVATASOT OVAT LUOKITELTUJA TURVATOIMENPIDE- JA MENETTELYVAATIMUKSIA 11

HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT Tietoturvallisuuden hallinta Ydintoimintojen tunnistaminen ja hallinta Johtaminen ja tulosohjaus Riskien hallinta Henkilöstöjohtaminen Kumppanuuksien hallinta Resurssien hallinta Suunnittelu ja kehittäminen Kustannusten hallinta Turvallisuuden arviointi ja valvonta Vaatimustenmukaisuus Hankintojen hallinta Ehdotus toistettavan perustason rakenteeksi 12 TOISTETTAVA MÄÄRITELTY HALLITTU OPTIMOITU TOISTETTAVA MÄÄRITELTY HALLITTU OPTIMOITU

HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT TOISTETTAVA MÄÄRITELTY HALLITTU OPTIMOITU Tietoturvallisuuden hallinta perustasolla - esimerkkejä Riskien arviointi tehdään organisaatiossa vuosittain ja ylin johto on mukana Organisaation kruunun jalokivet on tunnistettu ja turvataan ne tietoisesti Organisaatiossa on nimetty (osa/kokopv.) tietoturvallisuudesta vastaava ja hänellä on aikaa sekä osaamista tehtävään.... 13 TOISTETTAVA MÄÄRITELTY HALLITTU OPTIMOITU MÄÄRITELTY HALLITTU OPTIMOITU TOISTETTAVA

Kohteiden turvaaminen Henkilöstö Tietoaineistot Tilat ja toimintaympäristö Tietojärjestelmät Tietoliikenne Laitteistot Ohjelmistot Ehdotus Käyttötoiminta Tuotettavat palvelut perustason Etäkäyttö rakenteeksi Tietojenkäsittelyä palvelevat prosessit: 11.1 Infrastruktuurin hallinta 11.2 Tietojärjestelmäprojektien hallinta 11.3 Hyväksymisvaltuudet 11.4 Käyttövaltuuksien hallinta 11.5 Muutostenhallinta 11.6 Ongelma- ja poikkeamatilanteiden hallinta 11.7 Suorituskyvyn ja kapasiteetin hallinta 11.8 Kohteiden tietoturvatason auditointi PERUSTASO PERUSTASO KOROTETTU TASO KOROTETTU TASO KORKEA TASO KORKEA TASO 1. Ydintoimintojen tunnistaminen ja hallinta 2. Johtaminen ja tulosohjaus 3. Riskien hallinta 4. Henkilöstöjohtaminen 5. Kumppanuuksien hallinta 6. Resurssien hallinta 7. Suunnittelu ja kehittäminen 8. Kustannusten hallinta 9. Turvallisuuden arviointi ja valvonta 10. Vaatimustenmukaisuus 11. Hankintojen hallinta HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA ERITYISTASO ERITYISTASO ERITYISTASO KORKEA TASO KOROTETTU TASO PERUSTASO 14 TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT

1. Ydintoimintojen tunnistaminen ja hallinta 2. Johtaminen ja tulosohjaus 3. Riskien hallinta 4. Henkilöstöjohtaminen 5. Kumppanuuksien hallinta 6. Resurssien hallinta 7. Suunnittelu ja kehittäminen 8. Kustannusten hallinta 9. Turvallisuuden arviointi ja valvonta 10. Vaatimustenmukaisuus 11. Hankintojen hallinta ERITYISTASO KORKEA TASO KOROTETTU TASO PERUSTASO Kohteiden turvaaminen perustasolla - esimerkkejä PERUSTASO KOROTETTU TASO KORKEA TASO HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT ERITYISTASO Käyttöoikeudet poistettava/passivoitava poislähteneeltä. Jokaisella tietojärjestelmällä on oltava roolit: omistaja, pääkäyttäjä ja ylläpitäjä Poikkeustilanteisiin on varauduttava etukäteen, niin että riskit on tiedostettu ja organisaation ylin johto on tehnyt päätökset.... 15

Kypsyyden ja turvatason käsitemallitk Kuutioissa olevat elementit avataan ohjeiksi, tarkistuslistoiksi, työvälineiksi, koulutusmateriaaliksi jne. 16

Turvatasoja tukevan ohjeiston rakenne Laki- ja määräyskokoelma (luonnos) Organisaation tietoturvallisuuden hallinnan kypsyyden arviointiohjeet (jatkohanke) Ohjeiston käyttöopas ja asiahakemisto (jatkohanke) Ohjeet (jatkohanke) Yleinen osa Turvatasojen auditointiohje Kypsyystasot tietoturvallisuuden hallinnalle (TH) * Tasot 1, 2, 3, 4 (jatkohanke) Turvatasot tietoturvallisuuden hallinnalle (TH) Turvatasot tietoturvallisuuden hallinnalle (TH) * Tasot 1, 2, 3, 4 (luonnos) Turvatasot kohteiden Turvatasot turvaamiseksi kohteiden (KT) turvaamiseksi (KT) Turvatasot kohteiden turvaamiseksi (KT) * Tasot 1, 2, 3, 4 (luonnos) Turvatasot kohteiden Turvatasot turvaamiseksi kohteiden (KT) turvaamiseksi (KT) Suositukset ja ratkaisut (TH) * Tasot 1, 2, 3, 4 (jatkohanke, luonnos olemassa) Suositukset ja ratkaisut tietokanta/kortisto (jatkohanke) Turvatasot kohteiden turvaamiseksi Turvatasot (KT) kohteiden turvaamiseksi (KT) Suositukset ja ratkaisut (KT) * Tasot 1, 2, 3, 4 (jatkohanke, 2 kpl tekeillä) 17

Turvatasoja tukevat tehtävät Laki- ja määräyskokoelman seuranta ja luettelon päivittäminen Organisaation tietoturvallisuuden hallinnan kypsyyden arviointi Koulutusten valmistelu ja koulutus Ohjaus ja kehittäminen, turvatasojen auditointi ja tasojen skaalaus... Turvatasojen ylläpito tietoturvallisuuden hallinnalle (TH) Tasot 1, 2, 3, 4 Turvatasojen ylläpito kohteiden turvaamiseksi (KT) Tasot 1, 2, 3, 4 Jatkohankkeessa Suositusten ja ratkaisujen seuranta ja hyväksyminen Suositukset ja ratkaisut tietokannan/ kortiston ylläpito Suositusten ja ratkaisujen seuranta ja hyväksyminen 18

Tietoturvatasot -hankkeen kannalta eteneminen Jatkaminen ja resursointi Esitutkimus päättynyt Perustason P Kilpailutus luettelo PToteutus pyra- P + P ja Normi- VAHTI- Tuotantoonsiirto Koulutus Välineet Päätös määrittely midi aineistot käyttö UM SM/Palke Pilotointi Verohallitus + 2 toimipistettä Ilmatieteen laitos Joensuun kaupunki Palvelutason Toteuttaminen Tuotanto Auditointimenettelyt valvonta ja ja ylläpito + hallinta auditoinnit II vaihe: korkeakoulu, valtionyhtiö, TE-keskus 19

Turvatasot ovat organisaation tietoturvallisuuden kokonaishallintaa Organisaation strategiat ja tehtävät yhteiskunnassa Säädökset, normit ja hyvät käytännöt Turvallisuusanalyysit ja tutkimukset Sidosryhmien odotukset ja vaatimukset Liittymät tulosohjaukseen ja taloudenhallintaan Tietoturvallisuuden hallinta Tietoturvapolitiikat ja ohjeet Tietoturvatasojen ylläpito Tietoturvallisuuden hallinnan arviointi Sertifiointi Liittymät laadunhallintaan Liittymät tietohallintoon Tieto-omaisuuden luokittelu Tietoturvallisuuden hallinnan suunnittelu Toipumissuunnittelu Yhteistyö muiden toimijoiden kanssa Valmiussuunnittelu Turvattavien kohteiden tunnistaminen ja valinta Turvatason määrittäminen Turvamekanismien valinta Tietoturvatoimien ja menetelmien käyttöönotto Turvamekanismien käyttöönotto Organisaation päivittäinen toiminta Ulkoiset auditoinnit Ylläpito ja käytöstä poisto Sisäiset auditoinnit Tekniset auditoinnit Turvakontrollit Tietoturvatietoisuuden parantaminen, ylläpito ja henkilöstön motivointi Liittymät muuhun turvallisuuteen: -Turvallisuusjohtaminen -Riskienhallinta -Tuotantotoiminnan jatkuvuuden varmistaminen -Henkilöstöturvallisuus -Ympäristöturvallisuus -Pelastustoiminta -Jatkuvuussuunnittelu -Kiinteistö- ja toimitilaturvallisuus -Ulkomaantoimintojen turvallisuus -Rikosturvallisuus 20

Organisaation kannalta eteneminen - esimerkki Ylimmän johdon päätös; tavoitetilan asettaminen sekä työn resursointi Tietoturvallisuuden Turvattavien P Tuotantoon - Normien Tavoitetason Esitutkimus Päätös Kilpailutus PToteutus hallinta Riskien tutkiminen siirto organisaatiossa alkaa hallinta kohteiden määritys määrittely Varautumisen määrittely Tuotanto Käytäntöjen + ja yll äpito kulttuurin luominen Auditointi Vuosittain, uusi iterointi auditoinnin jälkeen paluu alkuun Välineitä mm. Kaiku (VK) Koulutusaineistot, lelut ym. välineet Normiluettelo (VM) Organisaation omat kohteet + kohteet Suomen kannalta, YETT ym. Huovi (HVK) VAHTIpyramidi, ohjeisto ym. Raportointi Netra (VK) 21

HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT HENKILÖSTÖ TIETOAINEISTOT TILAT JA TOIMINTAYMPÄRISTÖ TIETOJÄRJESTELMÄT, LAITTEISTOT JA OHJELMISTOT KÄYTTÖTOIMINTA TUOTETTAVAT PALVELUT ETÄKÄYTTÖ TIEDON KÄSITTELYÄ PALVELEVAT PROSESSIT Jatkohankkeen osat PERUSTASO KOROTETTU TASO KORKEA TASO ERITYISTASO I Turvattavien kohteiden kartoitus sekä turvatavoitteiden määritys II Vaikuttavat normit, standardit ja hyvät käytännöt III Turvatasojen hyödynt dyntämisen tutkiminen IV Organisaatioiden kypsyyden ja turvatason arviointi sekä parantaminen V Tietoturvatasohankkeen kokonaishallinta 1. Ydintoimintojen tunnistaminen ja hallinta 2. Johtaminen ja tulosohjaus 3. Riskien hallinta 4. Henkilöstöjohtaminen 5. Kumppanuuksien hallinta 6. Resurssien hallinta 7. Suunnittelu ja kehittäminen 8. Kustannusten hallinta 9. Turvallisuuden arviointi ja valvonta 10. Vaatimustenmukaisuus 11. Hankintojen hallinta ERITYISTASO KORKEA TASO KOROTETTU TASO PERUSTASO TOISTETTAVA MÄÄRITELTY HALLITTU OPTIMOITU TOISTETTAVA MÄÄRITELTY HALLITTU OPTIMOITU 22

Jatkohankkeen aikataulu ja vaiheistus Osa-alueet Perustason S i i r t y m ä a i k a velvoittavuus 2007 2008 2009 2010 2011 Valtionhallinnon tietoturvatasot Suunnittelu ja toteutus Virastot Kunnat I Turvattavien kohteiden kartoitus ja turvatavoitteiden määritys - Tasovaatimukset, luokat - Hyvät käytännöt, välineet - Tietoturva-kulttuurin luominen - Tietoturvaviestiminen II Vaikuttavat normit, standardit ja hyvät käytännöt - normiluettelo Tavoitetila ja välineiden tuottaminen Normien vaikutukset Käyttöönotot Käyttöönotot III Turvatasojen yhteydet ja hyödyntämisen tutkiminen Yhteydet luokitteluihin ja esittely kansainvälisesti IV Organisaatioiden kypsyyden ja turvatason arviointi sekä parantaminen - Auditointi - Toiminnan suunnittelu ennakoivasti - Riskienhallinta V Hankkeen kokonaishallinta Määrittely, auditoinnin ohjaus ja kilpailuttamiset Hankehallinto ja sisällön koordinointi Käyttöönotot 23

Jatkohankkeen osa-alueet 24

1. Turvattavien kohteiden kartoitus ja turvatavoitteiden määritys 1. Määritetään, mitkä kohteet ovat valtionhallinnoss a tärkeitä ja turvattavia. 2. Laaditaan ohje, miten organisaatiot voivat tunnistaa omat tärkeät kohteensa. 3. Tutkitaan, millä tasolla ja mihin kohteisiin turvatasovaatim uksia voidaan määrittää. ERITYISTASO KORKEA TASO KOROTETTU TASO PERUSTASO AVOIN TASO 4. Kartoitetaan ja harmonisoidaan olemassa olevat luokitukset valittujen turvattavien kohteiden osalta. 5. Määritetään niiden perusturvatason vaatimukset. 6. Tutkitaan, mihin ja millä tarkkuudella voidaan määrittää korkeampia turvatasoja 7. Laaditaan soveltamisohjeet, joiden avulla turvatasot saavutetaan 25

2. Vaikuttavat normit, standardit ja hyvät käytännöt Selvitetään olemassa olevat normit, standardit ja hyvät käytännöt valittujen turvattavien kohteiden, turvatasojen sekä kypsyyden osalta. Suunnitellaan, miten niitä voidaan hyödyntää ja yhdenmukaistaa. Tutkitaan, miltä osin tietoturvatasot hankkeen tulokset voivat olla kansainvälisesti hyvää käytäntöä 26

3. Olemassa olevien tasojen harmonisointi Selvitetään, mitä turvatasoja ja vaatimuksia turvattaviin kohteisiin liittyy. Suunnitellaan, miten turvatasot ja vaatimukset harmonisoidaan. Tutkitaan, miten laajasti turvatasoja voidaan soveltaa kokonaisturvallisuuteen (fyysinen turvallisuus, ympäristöturvallisuus, valmiussuunnittelu jne.) 27

IV. Organisaatioiden kypsyyden ja turvatason arviointi sekä parantaminen Jatkohankkeessa suunnitellaan 1. miten strateginen, toiminnallinen ja turvatoimenpiteiden kypsyys määritetään sekä todennetaan. 2. menettelyt, joilla parannetaan organisaatioiden kypsyyttä ja helpotetaan turvatason toteuttamista. 3. miten kypsyys ja turvataso toteutuvat yhteistyössä sekä palveluissa. 2. 3. 1. 1. 28

V. Tietoturvatasojen kokonaishallinnan ja ohjauksen toteuttaminen Tutkitaan, miten turvatasojen ja vaatimusten hallinnointi ja ohjaus on järjestetty kansainvälisesti Suunnitellaan hallinnoinnin ja ohjauksen toteutus 29

Yhteenveto Turvatasot ovat luokiteltuja turvatoimenpide- ja menettelyvaatimuksia. Mitä korkeampi kohteen turvatasovaatimus on, sitä kypsempi organisaation tulee olla sen toteuttamiseen ja hallintaan Kypsyys näkyy strategisessa johtamisessa, tietoturvallisuuden hallinnassa ja turvatoimenpiteissä Vaatimusten tulee perustua normeihin, olemassa oleviin standardeihin ja hyviin käytäntöihin. Turvatasojen jalkauttaminen edellyttää ohjausta ja yhtenäisiä normeja. Valtionhallinnossa tulee tunnistaa toiminnan kannalta tärkeät ja turvattavat kohteet. Lisäksi kohteiden turvaamisen tavoitteista tulee päättää. Valtionhallinnossa yhteiselle turvatasolle on mahdollista asettaa yhtenäiset vaatimukset kun em. päätökset on tehty. Riippumaton auditointi varmistaa yhteisten vaatimusten noudattamisen kaikilla tasoilla ja muodostaa perustan luottamussuhteelle 30

IV III Turvatasojen hyödyntämisen tutkiminen Organisaation tietoturvallisuuden hallinnan kypsyyden arviointi 200 V Hankehallinto 100 htp/v. 40 40 Turvatasojen htp:t Koulutusten valmistelu ja koulutus 50 50 20 Turvatasojen ylläpito tietoturvallisuuden hallinnalle (TH) Tasot 1, 2, 3, 4 50 Suositusten ja ratkaisujen seuranta ja hyväksyminen Laki- ja määräyskokoelman seuranta ja luettelon päivittäminen 80 htp Ohjaus ja kehittäminen, turvatasojen auditointi ja tasojen skaalaus Suositukset ja ratkaisut tietokannan/ kortiston ylläpito Turvatasojen ylläpito kohteiden turvaamiseksi (KT) Tasot 1, 2, 3, 4 50 170 II I 100 50 120 30 htp 50 Suositusten ja ratkaisujen seuranta ja hyväksyminen aloituskustannus ylläpitokustannus htp = henkilötyöpäivä 20 20 20 30 *) 30 *) 30 *) *) kaupallisten ratkaisujen osalta maksullinen 50 50 31

III Turvatasojen kustannukset Turvatasojen hyödyntämisen tutkiminen 20.000 II Laki- ja määräyskokoelman seuranta ja luettelon päivittäminen 10.000 500 Välineiden toteuttaminen ylläpitokustannus IV Organisaation tietoturvallisuuden hallinnan kypsyyden arviointi 50.000 2.000 Koulutusten valmistelu ja koulutus 50.000 20.000 I Ohjaus ja kehittäminen, turvatasojen auditointi ja tasojen skaalaus 50.000 5.000 VAHTI-julkaisut rakenteiseksi ja sähköisesti saataville V Hankehallinto, matkat ym. Turvatasojen ylläpito tietoturvallisuuden hallinnalle (TH) Tasot 1, 2, 3, 4 Turvatasojen ylläpito kohteiden turvaamiseksi (KT) Tasot 1, 2, 3, 4 2 * 5000 = 10.000 2 * 500 = 1.000 20.000 / v. Suositusten ja ratkaisujen seuranta ja hyväksyminen 10.000 Suositukset ja ratkaisut tietokannan/ kortiston ylläpito 1.000 *) 10.000 Suositusten ja ratkaisujen seuranta ja hyväksyminen 1.000 *) 10.000 1.000 *) *) kaupallisten ratkaisujen osalta maksullinen 32

Karkea kustannuslaskelma: investointi ja ylläpito Oma virkatyö Ostettava konsulttityö Hallinnolta virkatyötä Välineet Vaihe Kustannukset Työmäärä Työmäärä Työmäärä Kustan- Nukset Kustannukset Investointikustannukset 5 htv 0,3 M 0-3 htv 0 0,4 M 8 htv 0,5 M *) 0,9 M Ylläpito 2,8 htv 0,2 M 0-1 htv 0-0,1 M 4 htv 0,3 M *) 0,3 M VAHTIohjeiston Investointi- Kustannukset yht. 1,7-2,1 M 10/2007-12/2008 *) sisältää Ylläpito yht. 0,8-0,9 M 1/2009 -> / v. rakenteis -tamisen. 33

Tietoturvallisuuden hallinta vähentää.... käytettyä aikaa =.. korjauskustannuksia =.. menetyksiä (varkauksia, petoksia,..) =.. maineen menetyksen =.. vähentää oikeudellisia kustannuksia =.. (pienentää) toiminnan riskejä = Etukäteen suunnittelu on edullisempaa kuin jälkien korjaus. 34

Valtionhallinnon poliittishallinnollisessa ohjauksessa käytettävät ohjauskeinot lainsäädäntö ja muu normatiivinen ohjaus lait, asetukset ja muut oikeussäännöt sekä organisaatiokohtaiset sitovat normit, kuten työjärjestykset taloudellinen ohjaus eli tehtävien hoitoon osoitetut voimavarat ja niiden käyttöä koskeva ohjaus taloudellista ohjausta koskevat normit, voimavarojen allokointikäytännöt/budjettiohjaus, tulosohjaus ja -seuranta, sopimusohjaus sekä uutena keinona yhteishankinnat osana talousohjausta (talousarviolaki 22 a 447/2006). rakenteet organisaatiot, organisaatiorakenteet, organisaatiomallit, palvelujärjestelmät, henkilöstörakenne, ohjauksen rakenteet henkilöstön kannustejärjestelmät, organisaatioiden kannustejärjestelmät, vastuujärjestelmät, johtamisen ohjaus, koulutus informaatio-ohjauksen eri muodot ml. ohjeet, suositukset, standardit, kehittämislinjaukset ja tavoitteenasettelu ohjelmaperusteiset hankkeet, politiikkaohjelmat, arviointi, tietojen keruu, rekisterit, tilastot, muut tietovarannot ja muu seuranta, tutkimus- ja kehitystyön tuloksena syntyvä tieto sekä koulutus ja professiot 35

Valtion yhteisen IT-toiminnan ohjauksessa ja koordinoinnissa käytettävät toimenpiteet valtioneuvoston määrittelemät, IT-toiminnan yleiset kehittämis- ja toimintaperiaatteet, asianomaisen hallinnonalan IT-toiminnan ohjaus edellä mainittujen linjausten mukaisena tulosohjauksena, valtiovarainministeriön informaatio-ohjaus, perustuu valtioneuvoston linjauksiin, yksittäisiä ratkaisuja koskeva velvoittava ohjaus, talouden ohjaus sekä yhteishankinnat. 36

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute