Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä



Samankaltaiset tiedostot
Varmaa ja vaivatonta viestintää kaikille Suomessa

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

Auditoinnit ja sertifioinnit

Pilvipalveluiden arvioinnin haasteet

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Ohje tietoturvallisuuden arviointilaitoksille

Ohje tietoturvallisuuden arviointilaitoksille

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Turvallisuusselvityslain uudistus yritysturvallisuusselvityksissä

HE 45/2011 vp. Viestintävirastolle, minkä vuoksi viestintähallinnosta annettua lakia olisi muutettava.

Sähköi sen pal l tietototurvatason arviointi

EDUSKUNNAN VASTAUS 95/2004 vp. Hallituksen esitys Euroopan Avaruusjärjestöä koskevan yleissopimuksen sopimuspuolten ja

Tietoturvallisuus julkisessa. Sähköisen hallinnon oikeudelliset perusteet Tommi Oikarinen

Laatua ja tehoa toimintaan

Web-seminaari

Varmaa ja vaivatonta viestintää

Ohje arviointikriteeristöjen tulkinnasta

Valtioneuvoston asetus

Riippumattomat arviointilaitokset

Turvallisuuden lyhyt koulutuspaketti

Laki. EDUSKUNNAN VASTAUS 66/2005 vp. Hallituksen esitys laeiksi viranomaisten toiminnan julkisuudesta annetun lain sekä kuntalain 50 :n muuttamisesta

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

Luonnos LIITE 1

Tutkimuslaitosseminaari

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS. Tausta, tavoitteet ja tarkoitus

Liikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Turvallisuusselvityslainsäädännön kokonaisuudistus Tausta ja keskeiset muutokset

Tietoturvapolitiikka

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Oulun kaupunki. Ulkoisen tarkastuksen johtosääntö. Voimaantulo

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

Aikaisempi laki osoittautui riittämättömäksi

Tietoturvallisuuden. arviointiohje 2/2014 VAHTI. Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä

Turvallisuusselvityslainsäädännön uudistus

Aku Hilve, Tuija Kuusisto, Eeva Lantto, Kirsi Janhunen

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

Vihdin kunnan tietoturvapolitiikka

Uusi kuntalaki: Miten sähköisiä toimintatapoja edistetään? Katariina Huikko, lakimies Kuntalaki uudistuu seminaari Kuntatalo 3.6.

Laki kuntoutuksen asiakasyhteistyöstä

Tietoturvapolitiikka

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

LIITE. asiakirjaan. Komission delegoitu asetus

RAKENTAMISEEN LIITTYVIEN SUUNNITTELU- JA KONSULTTIPALVELUJEN TURVALLISUUSSOPIMUS (ESIMERKKI) XX.XX.20 [ASIAKAS] [TOIMITTAJA]

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Yritysturvallisuuden johtamisen arviointi

Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

TIETOSUOJAVALTUUTETUN TOIMISTO. Dnro 2135/03/2016 ' Opetus- ja kulttuuriministeriö

ASIAA TIETOSUOJASTA 4/ HENKILÖTIETOLAKI HENKILÖTIETOJEN KÄSITTELYN OHJAAJANA

Yliopiston johdon (hallintojohtaja) vastuulla on tietoturvallisuuden toteutuminen osana kokonaisturvallisuutta.

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

TIETOVERKOT JA TIETOLIIKENNEJÄRJESTELYT MAAKUNTIEN KANSALLINEN TIETOVERKKOJEN KYTKENTÄYDIN

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

HE 151/2012 vp. Esityksessä ehdotetaan muutettavaksi kiinteistötietojärjestelmästä

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Määräys 1/2011 1/(8) Dnro xxxx/03.00/ Terveydenhuollon laitteen ja tarvikkeen vaatimustenmukaisuuden arviointi. Valtuutussäännökset

Hallituksen esitys eduskunnalle painelaitelaiksi. HE 117/2016 vp.

Sosiaali- ja terveydenhuollon asiakastietojärjestelmät ja niiden uudistukset

VIRTU ja tietoturvatasot

Laki. eräitä tuoteryhmiä koskevista ilmoitetuista laitoksista. Soveltamisala

6) tietojen käytettävyys, eheys ja laatu viranomaisen tehtävän hoidossa ja viranomaisten yhteistyössä;

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Määräykset ja ohjeet 7/2016

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

HE 127/2016 vp: laki laivavarustelain muuttamisesta. Liikenne- ja viestintävaliokunta Jenni Rantio

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

HE 35/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Tietoturva osana oppilaitosturvallisuutta ja EUn tietosuoja-asetuksen velvoitteet

laeiksi julkisen hallinnon tietohallinnon ohjauksesta

Yritysturvallisuuden johtamisen arviointi

Teknisen ICT-ympäristön tietoturvataso-ohje

JHS-järjestelmä. Tommi Karttaavi

Organisaation turvallisuusvelvoitteet - Mitä lainsäädäntö ja sopimukset edellyttävät?

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Uusi sähköturvallisuuslaki

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

HE 69/2009 vp. säätää neuvontatehtävien hoidosta aiheutuvien kustannusten korvaamisesta maakunnalle.

UUSI POSTILAKI - mitä laki mahdollistaa ja velvoittaa?

Toimitilojen tietoturva

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Pentti Mäkinen

Päätös. Laki. sosiaalihuoltolain väliaikaisesta muuttamisesta

Tulevat säädösmuutokset ja tietosuoja

HE 191/2017 vp. Hallituksen esitys eduskunnalle laiksi verotusmenettelystä annetun lain 14 d :n muuttamisesta

Datan avaamisen reunaehdot. Katri Korpela Projektipäällikkö 6Aika - Avoin data ja rajapinnat

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

TURVALLISUUSSOPIMUS SENAATTI-KIINTEISTÖT [TOIMITTAJA]

Transkriptio:

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto

Viestintäviraston tehtävät tietoturvallisuusviranomaisena Toimii määrättynä turvallisuusviranomaisena tietojärjestelmien ja tietoliikenteen tietoturvallisuutta koskevissa asioissa Arvioi ja tarvittaessa hyväksyy viranomaisten tietojärjestelmät, joissa käsitellään salassa pidettävää tai turvallisuusluokiteltua tietoa Hyväksyy tietoturvallisuuden arviointilaitokset sekä valvoo ja ohjaa niiden toimintaa Laura Kiviharju 22.1.2013 2

Tietoturvallisuuteen liittyvä lainsäädäntö Pääsääntöisesti kaikki viranomaisen asiakirjat ovat julkisia, ellei nimenomaisesti laissa ole säädetty salassapidosta» Julkisuuslain (631/1999) salassapitoperusteet» Kansainvälisen turvaluokitellun tiedon salassapito Salassa pidettävää tietoa on käsiteltävä tiedon suojaustason mukaisten vaatimusten edellyttämällä tavalla»tietoturvallisuusasetus (681/2010) määrittääyleiset tietoturvallisuusvaatimukset sekäsalassa pidettävien luokiteltujen asiakirjojen käsittelyvaatimukset Laura Kiviharju 22.1.2013 3

Mitätietoturvallisuuden arvioinnilla tarkoitetaan? Tietoturvallisuuden arvioinnin tarkoituksena todentaa, että arvioinnin kohde täyttää tiedon käsittelyä koskevat tietoturvallisuusvaatimukset» Hallinnollinen turvallisuus, fyysinen eli toimitilaturvallisuus, henkilöstöturvallisuus ja tekninen tietoturvallisuus» Ei koske tietojärjestelmiin talletettavien tietojen lainmukaisuuden tai tietosisällön arviointia Organisaation tietoturvallisuutta kehitettäessä arvioinnin tavoitteena voi olla myös nykytilan selvittäminen eli miltä osin tietoturvallisuusvaatimukset täyttyvät Arvioinnin kohde» Tietojärjestelmä tai tietoliikennejärjestely» Luokitellun tiedon käsittely-ympäristö Arvioinnissa käytettävät kriteeristöt» Kansallinen turvallisuusauditointikriteeristö (KATAKRI)» Tietoturvallisuusasetuksen täytäntöönpanoa koskevat valtiovarainministeriön ohjeet (VAHTI) Laura Kiviharju 22.1.2013 4

Tietoturvallisuuden arviointilaitos Arviointitoiminnan siirtäminen osittain yksityisille toimijoille Lainsäädännössä ei tällä hetkellä säännöksiä yritysten tietoturvallisuuden arviointia harjoittavien laitosten toiminnasta Luotettavaa ja pätevyysvaatimukset täyttävää arviointipalvelua Arvioinnissa tarkastetaan arvioinnin kohteen toimitilat Viranomaishyväksyntää edellytetään edelleen joissain tilanteissa (esim. EU-tietoa käsittelevät tietojärjestelmät)» Hyväksyntävoi kuitenkin pohjautua arviointilaitoksen tekemään arviointiin Laura Kiviharju 22.1.2013 5

Tietoturvallisuuden arviointiperusteet 1. lailla tai asetuksella säädettyjä viranomaisten toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön tietoturvallisuutta koskevia ohjeita*) 2. kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen antamia kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevia ohjeita**) 3. Euroopan unionin tai muun kansainvälisen toimielimen antamia tietoturvallisuutta koskevia säännöksiä ja ohjeita**) 4. julkaistuja ja yleisesti tai alueellisesti sovellettuja tietototurvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita 5. vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia***) *) VAHTI 2/2010 ohje **) KATAKRI (Kansallinen turvallisuusauditointikriteeristö) ***) esim. ISO 27001 Laura Kiviharju 22.1.2013 6

Viranomainen arviointilaitoksen asiakkaana Viranomaisen tietoturvallisuuden kehittäminen Luokiteltujen asiakirjojen käsittely-ympäristöjen arviointi» Tietoturvallisuusasetuksen mukaisten tietoturvallisuusvaatimusten täytäntöönpano» Luokitellun tiedon käsittelyvaatimukset toteutettava viiden vuoden kuluessa lukituspäätöksestä» Toimitilaturvallisuusvaatimukset 1.10.2015 mennessä Tietojenkäsittelyä koskevia velvoitteita noudatettava myös silloin, kun tietojenkäsittelytehtäviä hoidetaan viranomaisen toimeksiannosta» Viranomaisen hankinnat, palveluiden ulkoistaminen Viranomaisten tietojärjestelmien tietoturvallisuuden arvioinnissa käytettävät arviointipalvelut» Valtionhallinnon viranomaisen käytettävä Viestintävirastoa tai sen hyväksymää arviointilaitosta 1.6.2015 lukien (laki 1406/2011) Laura Kiviharju 22.1.2013 7

Yritys arviointilaitoksen asiakkaana Yritysturvallisuuden edistäminen luomalla valvonta yritysten tietoturvallisuutta arvioiville laitoksille Mahdollisuus osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan arvioinnin avulla Yritys, joka suunnittelee osallistumista hankkeeseen, jossa käsitellään turvallisuusluokiteltua tietoa» mahdollisuuden varautua nykyistä paremmin turvallisuusviranomaisen turvallisuusselvitykseen Viranomaisille tietojenkäsittely- tai tietoliikennepalveluja tarjoava yritys Laura Kiviharju 22.1.2013 8

Yhteenvetoa Riippumaton ja viranomaisvalvonnan alainen arviointimenettely, jolla voidaan todentaa lainsäädännön tietoturvallisuusvaatimusten toteuttaminen Valtionhallinnon viranomaisten velvollisuus käyttää hyväksyttyä arviointilaitosta tietojärjestelmäarvioinneissa Yritysturvallisuus kilpailuetuna ja suomalaisten yritysten kilpailukyvyn parantaminen kansainvälisillä markkinoilla Laura Kiviharju 22.1.2013 9

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute