Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa Osallistu keskusteluun, kysy ja kommentoi Twitterissä: #Valtori2015
Tietoturvallisuuden ja varautumisen roolit ICTpalveluiden näkökulmasta eri toimijoiden kesken valtionhallinnossa 16.9.2015 Kimmo Rousku Valtori asiakaspäivä JulkICT Kyber- ja infrastruktuuriyksikkö
Esityksessäni Mitkä ovat viraston Valtorin ja valtiovarainministeriön roolit tietoturvallisuuden ja varautumisen eri osa-alueilla? Auditointeihin ja virallisiin tarkastuksiin liittyvät vastuut Kertaus mistä kyberturvallisuudessa on perusviranomaisen näkökulmasta kyse? Entäs kun mukaan otetaan digitalisaatio, miten se muuttaa kuviota?? 65
Tietoturvallisuus - kuka vastaa? Tietojen turvallisuudesta vastaa aina tietojen omistaja Jos organisaatio ulkoistaa toimintojaan tai palvelujaan, joissa näitä tietoja käsitellään, tulee organisaation luokitella tietonsa ja määrittää niiden suojaamista koskevat vaatimukset Vain tiedon omistaja itse voi tämän tehdä, koska vain he tuntevat täysin oman toimintansa, omien tietojensa merkityksen toiminnalleen, niitä koskevat vaatimukset ja pystyvät määrittämään riskitason, jonka he ovat valmis hyväksymään. 66
Valtorin rooli Valtori palveluntarjoajana tämän jälkeen vastaa siitä, että se tuottaa asiakkaalle sopimusten mukaista ja niiden vaatimukset täyttävää palvelua. 67
Esimerkki Virasto hankkii palvelua kaupalliselta toimittajalta Vastuu palvelinympäristön tietoturvallisuuden suhteen on selkeä, kokonaisvastuussa tietojen turvallisuudesta on virasto ja toteutusvastuussa on toimittaja Toimintasiirtojen kautta viraston tämän palvelun palvelinympäristöön liittyvät sopimukset siirtyvät Valtorille Miten vastuut tämän jälkeen menevät? Valtorin vastuulla ovat ne asiat, jotka Valtorin ja viraston välisiin sopimuksiin on kirjattu. Toimittaja taas vastaa niistä asioista, joita Valtorille siirtyneeseen, eli nyt Valtorin ja toimittajan väliseen sopimukseen on kirjattu. 68
Ja sama kuvana Virasto sopimus Palvelun toimittaja Valtiovarainministeriö - vastuu - vaatimusten mukaisuus Virasto sopimus Valtori sopimus Palvelun toimittaja - vastuu - vaatimusten mukaisuus - vaatimusten mukaisuus 69
Siirtyneet vs. Valtorin kehittämät omat, uudet palvelut Siirtyneiden palveluiden osalta ollaan jo kaikille tutussa as-is -tilanteessa, tällöin palveluja tuotetaan lähtökohtaisesti samoin sopimuksin sekä samoin tuotantomallein kuin aikaisemminkin Toki asteittain palvelua kehittämällä ja mahdollisia uusia tuotantomalleja hyödyntäen Valtori vastaa siitä, että nämä palvelut täyttävät jatkossakin siirron aikaiset vaatimukset Mikäli vaatimuksiin tulee asiakkaalta muutos- tai kehitystarpeita, vastaa näiden toteutuksesta aiheutuvista kustannuksista asiakas 70
Siirtyneet vs. Valtorin kehittämät omat, uudet palvelut Valtorin itsensä kehittämille palveluille määritetään kehitysvaiheessa vaatimukset, jotka perustuvat vaatimustenmukaisuuteen (esim. palvelussa käsiteltävien tietojen luokituksen edellyttämä tietoturvataso), jatkuvuuden hallinta ja varautuminen (toiminnan kriittisyys) asiakasvaatimuksiin sekä Valtorin omaan riskiarviointiin Valtori vastaa siitä, että palvelu täyttää nämä vaatimukset nyt ja tulevaisuudessa. 71
Valtorin rooli valtionhallinnon tietoturvallisuudessa Valtorin rooli valtionhallinnon tietoturvallisuuden kontrollien ja vaatimustenmukaisuuden toteutuksessa on keskeinen, jopa kriittinen. Käytännössä Valtori vastaa kaikkien valtionhallinnon toimialariippumattomalle perustietotekniikalle asetettujen vaatimusten käytännön toteutuksesta kaikissa sen tuottamissa palveluissa Valtorilla tulee lisäksi olemaan keskeinen rooli tietoturvallisuuden tilannekuvan ylläpidossa, tietoturvapoikkeamien havainnoinnissa sekä niihin reagoinnissa. Tämä ei kuitenkaan millään tavalla automaattisesti vähennä asiakkaiden omia vastuita Sopimuskohtaisesti voidaan muitakin tehtäviä haluta siirtää Valtorin vastuulle, mutta niistä pitää sopia erikseen. 72
Auditointeihin ja virallisiin tarkastuksiin liittyvät vastuut Aina kun auditointia (esimerkiksi kaupallinen toimija) tai virallista tarkastusta (viestintävirasto, auditointilaitos) tehdään, auditoijan / tarkastajan rooli on tehdä auditointiraportti tilanteesta auditoinnissa käytettyä auditointikriteeristöä vasten Esimerkiksi VM:n tietoturvatasot, ISO 2700x, KATAKRI jne. Auditoijan / tarkastajan tehtävänä on suorittaa auditointi määritettyä auditointikriteeristöä käyttäen ja laatia raportti, joka luovutetaan auditoinnin tilaajalle Tilaaja tekee tämän perusteella päätöksen siitä, mitä se tekee havaituille poikkeamille korjataan ei korjata muu korvaava kontrolli => samalla sopiminen kustannusten jakamisesta ja maksamisesta Auditoija ei saa vaikuttaa ohjata kohteen toteuttamistapaa auditoinnin yhteydessä vaan verrata sen nykytilaa sovittuun auditointikriteeristöön 73
VM:n rooli - Laki valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä 1226/2013 2 Yhteiset palvelut 4 Yhteisten palvelujen on noudatettava valtion tietohallinnon kokonaisarkkitehtuuria ja yhteentoimivuuden kuvauksia ja määrityksiä ja niiden on täytettävä tarpeen mukaiset tietoturvallisuutta ja varautumista koskevat vaatimukset. Yhteisten palvelujen ohjaus Valtiovarainministeriö vastaa tässä laissa tarkoitettujen yhteisten palvelujen palvelutuotannon yleishallinnollisesta, strategisesta sekä tieto- ja viestintäteknisen varautumisen, valmiuden ja turvallisuuden ohjauksesta. 74
VM:n rooli - Valtioneuvoston asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä 132/2014 15 Tiedonsaantioikeudet ja tiedonantovelvollisuudet Palvelukeskuksen on raportoitava toimintansa turvallisuudesta ja tietoturvallisuudesta sekä ilmoitettava niihin liittyvistä poikkeamista viipymättä valtiovarainministeriölle tai sen osoittamalle viranomaiselle. 75
VM:n rooli Valtorin ohjaus Valtiovarainministeriö/JulkICT toimii Valtorin strategisena ohjaajana myös varautumisen, valmiusasioiden ja turvallisuuden osalta Tältä osin asetetaan vuodelle 2016 tulostavoitteet, jolla seurataan ennen kaikkea vaatimustenmukaisuuden toteutumista Valtiovarainministeriö tulee laatimaan keskeisille valtionhallinnon sisäisille palvelutuottajille raportointimenettelyn turvallisuuden vaatimustenmukaisuuden täyttymisen ja sen tilannekuvan osalta Tätä hyödynnetään esimerkiksi VAHTI-johtoryhmän, ohjauksen sekä muun toiminnan kehittämisen tarpeisiin 76
VM:n rooli VAHTI - Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) - VAHTI osallistuu tarvittaessa valtionhallinnon edustajana kansallista ja kansainvälistä tietoturvallisuutta kehittävien yhteistyöryhmien toimintaan sekä valmistelee tai valmisteluttaa näiden kanssa mahdollisesti valtionhallinnolle annettavat linjaukset. Suomen kyberturvallisuusstrategian mukaisesti VAHTI käsittelee ja yhteen sovittaa valtionhallinnon keskeiset tieto- ja kyberturvallisuuden linjaukset. - Nämä ovat niitä linjauksia ja ohjeita, joita valtionhallinnossa tulee toteuttaa - VAHTI tekninen jaosto VAHTI ohje-jaosto VAHTI kuntien tietoturvajaosto - http://www.vm.fi/vahti ja http://www.vahtiohje.fi 77
Kevennys ja kertaus Kyber ja digi ne hyvin yhteen soppii jos pannaan ne sammaan koppiin
Mistä tieto- ja kyberturvallisuudessa on kyse? Kyberturvallisuudella tarkoitetaan tavoitetilaa, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan. Tavoitetilassa kybertoimintaympäristöstä ei aiheudu vaaraa, haittaa tai häiriötä sähköisen tiedon (informaation) käsittelystä riippuvaiselle toiminnalle eikä sen toimivuudelle. Kybertoimintaympäristö on sähköisessä muodossa olevan informaation (tiedon) käsittelyyn tarkoitettu, yhdestä tai useammasta tietojärjestelmästä muodostuva toimintaympäristö. Ympäristöön kuuluvat myös datan ja informaation käsittelyyn liittyvät fyysiset rakenteet. 79
Mistä tieto- ja kyberturvallisuudessa on kyse? Kybertoimintaympäristöön kohdistuvat uhkat ovat tietoturvauhkia, jotka toteutuessaan vaarantavat tietojärjestelmän oikeanlaisen tai tarkoitetun toiminnan 80
Riskienhallinta Virtuaalinen (ICT) maailma Reaalimaailma Luottamuksellisuus Eheys Tietoturvallisuus Tieto Tietosuoja Saatavuus Estetään ja vaikutetaan toimintaan haittaavasti tietoverkot ja ICT on tässä parhaat keinot! Toiminta Toiminnan jatkuvuuden turvaaminen ja varautuminen Yksityisyydensuoja Kyberuhka = virtuaalisen maailman kautta yritetään vaikuttaa reaalimaailmaamme joko suoraan tai välillisesti ICT:n kautta 81
Poikkihallinnollisuus Entäs sitten tämä DIGI*.*? Nykyinen tapa tuottaa suorite palvelu prosessi Uusi digitalisoitu malli Digitalisaatio-prosessi Asiakaslähtöisyys Johda Visio tulevaisuus Hyödynnä uusi teknologia Kyseenalaista Innovoi Kysy Rajapintaista Out of box-thinking Pura normeja Kuuntele Tee yhteistyötä Osallista Yhteensovita Automatisoi Ota riskejä Hallitse riskejä Epäonnistu (nopeasti) Pilotoi Kehitä ketterästi Unohda luolamies-ajattelu Pura vanhaa Think big! Kehitä Avaa tietoa Tiedota Noudata ohjeita Mittaa Kouluta Kyberturvallisuus on digitalisaation mahdollistaja ja edellytys Uusi tapa toimia, kustannustehokkuus ja turvallisuus sisäänleivottuna 82
Digitalisaatio Digitalisaatio on muutosprosessi, jossa siirrytään teknologiaratkaisuista automatisoiduimpiin, itsenäisempiin, kokonaisvaltaisiin PALVELUIHIN -Kaikkea ei tarvitse tehdä alusta saakka uudelleen, vanhat palvelut voidaan purkaa auki ja digitalisoida silloin kun vanhaa kannattaa säilyttää (automatisointi, uudenlaiset teknologiaratkaisut (IoT, Internet of Things, esineiden internet)) Kyberturvallisuus Kyberturvallisuus on toiminnan turvallisuutta liiketoiminnan jatkuvuutta (riskienhallinta - tietoturvallisuus - jatkuvuuden hallinta & varautuminen tieto- ja yksityisyydensuoja) 83
Kysymyksiä? 84
Kimmo Rousku VAHTI-pääsihteeri Puh. 02955 30140 Lisätieto: kimmo.rousku@vm.fi www.vm.fi/vahti Valtiovarainministeriön viestintä vm-viestinta@vm.fi Mediapalvelunumero (arkisin 8 16) 02955 30500