Varmaa ja vaivatonta viestintää kaikille Suomessa Tietojärjestelmien ja tietoliikenteen arviointi "Uuteen turvallisuusselvityslakiin" 18.11.2014 Säätytalo Tähän joku aloituskuva, esim. ilmapallopoika
Viestintäviraston Kyberturvallisuuskeskus Kyberturvallisuuskeskus Kirsi Karlamaa Apulaisjohtaja Rauli Paananen Tilannekeskus Antti Kiuru Tilannekuvapalvelut Pasi Hänninen Turvallisuussääntely Jarkko Saarimäki Tarkastukset ja hyväksynnät Aki Tauriainen Kehittäminen ja tukitoiminnot Laura Kiviharju 18.11.2014 2
Viestintäviraston Kyberturvallisuuskeskuksen tehtävät tietoturvallisuuden arvioinnissa Tietojärjestelmäturvallisuuden arviointi osana yritysturvallisuusselvitystä» Turvallisuusselvityslaki ja laki kansainvälisistä tietoturvallisuusvelvoitteista» Yrityksen tiedonkäsittelyn teknisen tietoturvallisuuden arviointi Viranomaisten tietojärjestelmien arviointi» Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyiden arvioinnista» Viranomaisten käytössä tai hankittavana olevat järjestelmät Tietoturvallisuuden arviointilaitosten hyväksyminen» Laki tietoturvallisuuden arviointilaitoksista» Laitosten hyväksyminen ja tehtävät Laura Kiviharju 18.11.2014 3
Viestintäviraston rooli turvallisuusselvitysprosessissa Elinkeinonharjoittajan tietojärjestelmien ja tietoliikenteen tietoturvallisuustason arviointi osana yritysturvallisuusselvitystä» Antaa arvioinnin pohjalta todistuksen, jos arviointi koskevat yksinomaan tietojärjestelmien tai tietoliikennejärjestelyjen turvallisuutta (osittainen yritysturvallisuusselvitys) Tiedot tietojärjestelmistä annetuista todistuksista turvallisuusselvitysrekisteriin» voidaan käyttää esim. viranomaisten hankintatoimien valmistelussa Hakeutuminen henkilöturvallisuusselvitys menettelyyn» Tietojärjestelmien suojaaminen Laura Kiviharju 18.11.2014 4
Tietoturvallisuuden arviointiperusteet 1. lailla tai asetuksella säädettyjä viranomaisten toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön tietoturvallisuutta koskevia ohjeita; 2. kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen antamia kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevia ohjeita; 3. Euroopan unionin tai muun kansainvälisen toimielimen antamia tietoturvallisuutta koskevia säännöksiä tai ohjeita; 4. julkaistuja ja yleisesti tai alueellisesti sovellettuja tietototurvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita; 5. vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia. Laura Kiviharju 18.11.2014 5
Tietoturvallisuuden arviointikriteeristöt 1. Valtiovarainministeriön tietoturvallisuutta koskevat ohjeet (VAHTI)» Kansallisen tiedon käsittelyvaatimusten todentaminen 2. Kansallinen turvallisuusauditointikriteeristö (KATAKRI)» Kansainvälisen tiedon käsittelyvaatimusten todentaminen» Kansainväliset tietoturvallisuusvelvoitteet (EU, tietoturvallisuusvaltiosopimukset) 3. ISO 27001 standardi Laura Kiviharju 18.11.2014 6
Arviointilaitosten rooli turvallisuusselvitysprosessissa Yritysturvallisuusselvityksen tekeminen arviointilaitoksen antaman selvityksen pohjalta» Tietojärjestelmät ja tietoliikennejärjestelyt» Toimitilat» Muut turvallisuusjärjestelyt Hakeutuminen henkilöturvallisuusselvitysmenettelyyn» Tietojärjestelmien suojaaminen voidaan osoittaa arviointilaitoksen todistuksella Laura Kiviharju 18.11.2014 7
Hyväksytyt tietoturvallisuuden arviointilaitokset Viestintäviraston hyväksymä ja valvoma toimija, joka täyttää hyväksymisedellytykset:» Toiminnallinen ja taloudellinen riippumattomuus» Henkilökunnan hyvä tekninen ja ammatillinen koulutus sekä riittävän laaja-alainen kokemus» Laitteet, välineet ja järjestelmät» Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus» Ohjeet laitoksen toimintaa ja sen valvontaa varten Tehtävät» Toimitilojen tarkastus» Selvittää tietoturvallisuusvaatimusten toteutuminen (tietoturvallisuuden hallinta ja tietojärjestelmät) Hoitaa julkista hallintotehtävää Laura Kiviharju 18.11.2014 8
Viranomainen arviointilaitoksen asiakkaana Viranomaisen tietoturvallisuuden kehittäminen» Luokiteltujen asiakirjojen käsittely-ympäristöjen arviointi Tietojenkäsittelyä koskevia velvoitteiden noudattaminen, kun tietojenkäsittelytehtäviä hoidetaan viranomaisen toimeksiannosta» Viranomaisen hankinnat, palveluiden ulkoistaminen» Myös ST-IV tason arvioinnit Viranomaisten tietojärjestelmien tietoturvallisuuden arvioinnissa käytettävät arviointipalvelut» Valtionhallinnon viranomaisen käytettävä Viestintävirastoa tai sen hyväksymää arviointilaitosta 1.6.2015 lukien (laki 1406/2011) Laura Kiviharju 18.11.2014 9
Tietoturvallisuuden arviointilaitosten rooli Laura Kiviharju 18.11.2014 10
Luottamusta lisäämässä Laura Kiviharju 18.11.2014 11