2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 0
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 1
TietoturvallisuudenTietoturvallisuuden laatujohtaminenlaatujohtaminen
Aaro Hallikainen, FM, CISSPHallintopäällikköPoliisin tietohallintokeskus
Johto tarvitsee numerotietoa turvallisuusinvestointipäätöstensä tueksi.
Esitelmä käsittelee tietoturvallisuuden laatuarviointia suomalaisten valtionhallinnon ohjeiden avulla.
Esimerkkitapaukset pohjautuvat todellisiin arviointitilanteisiin.
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 2
SisSisäältltöö
VAHTI-ohjeistoErilaisia arviointiperiaatteitaTietoturvallisuuden arviointi turvallisuuden laatuarvioinnin yhteydessäEsimerkkejä arviointihankkeiden ajallisesta kestosta sekäarvioijaryhmän kokoonpanostaTietoturvallisuuden laadun mittareitaTasapainotettu arviointi (BSC, balanced score card) sekäEFQM-malliJohdon tuki
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 3
VAHTI ohjeistoVAHTI ohjeisto
Valtiovarainministeriö ohjaa valtionhallinnon tietoturvallisuustoimintaa.
Valtionhallinnon tietoturvaohjeistot käsittelevät tietoturvallisuuden erilaisia osa-alueita laajasti ja kattavasti.
Ohjeistoa kehittää valtionhallinnon tietoturvallisuuden johtoryhmä, johon kuuluu tietoturva-asiantuntijoita eri hallinnonaloilta.
Net: www.vm.fi/vahti-ohjeet
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 4
VAHTI, tietoturvallisuuden osaVAHTI, tietoturvallisuuden osa--alueetalueet
Tietoturvallisuus on välttämätön edellytys tehokkaiden sovellusten toteuttamiseksi sekä laillisten velvoitteiden täyttämiseksi.
VAHTI-ohjeisto jakaa tietoturvallisuuden seuraaviin kahdeksaan osa-alueeseen:
hallinnollinen turvallisuus, henkilöstöturvallisuus, fyysinen turvallisuus, tietoliikenneturvallisuus, laitteistoturvallisuus,ohjelmistoturvallisuus, tietoaineistoturvallisuus jakäyttöturvallisuus
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 5
ErErääititää VAHTIVAHTI--ohjeitaohjeita
Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa (7/2003)Opas julkishallinnon tietoturvakoulutuksen järjestämisestä (6/2003) mukana CDKäyttäjän tietoturvaohje (5/2003 *)Valtionhallinnon tietoturvakäsitteistö(4/2003)Tietoturvallisuuden hallintajärjestelmän arviointisuositus (3/2003)
*) saatavissa englanniksi ja ruotsiksi*) saatavissa englanniksi ja ruotsiksi
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 6
VAHTIVAHTI--ohjeidenohjeiden jakelujakelu
Voimassa oleva ohjeet on saatavilla verkkosivuiltaPaperipainokset saatavissa ValtiovarainministeriöstäCD jakelu vain valtionhallinnossa
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 7
VAHTIVAHTI--ohjeidenohjeiden kohderyhmkohderyhmää
Ensisijainen kohderyhmä on Suomen valtionhallintoTietoturvaosaamisen vaatimustaso vaihtelee eri lukijaryhmille
Osa aiheista on suunnattuorganisaation johdolle ja tietohallinnolleturvallisuuspäälliköille ja turvallisuudesta vastaavilletietoturvallisuuden asiantuntijoille ja teknikoilletietojärjestelmien käyttäjille ja tietojen käsittelijöillekoko henkilökunnalle
Ohjeistoa on mahdollista soveltaa myös kuntasektorilla ja yritystoiminnassaopetuskäyttöön
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 8
Erilaisia arviointiperiaatteitaErilaisia arviointiperiaatteita
Tietoturvallisuutta voidaan arvioida erilaisista näkökulmista
järjestelmien tekninen tietoturvallisuus palvelimet, keskustietokoneet, verkkorajapinnat jne.
tietoturvallisuuden johtamisjärjestelmätieto- ja viestintäjärjestelmien (tivi-järjestelmien) projektinhallintajärjestelmäkomponenttien toteuttaminen tuotteiden tai palveluiden turvallisuusominaisuudet tai suojamekanismit
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 9
Itse arviointiItse arviointi
Voidaan perustaa VAHTI-ohjeisiin
Tietoturvallisuuden hallintajärjestelmän arviointisuositus (3/2003)Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa (7/2003)
Molemmissa ohjeissa on esimerkkejä
tarkistuslistoista, lomakkeista ja pöytäkirjoista
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 10
Itse arviointiItse arviointi
Tarvitaan asiantuntija johtamaan arviointihanke hankkeen kohdistaminen suunnitelma resurssien varaaminenaikataulutus suorittaminen raportointivaikutusten seuranta
Valitse menetelmValitse menetelmää
Suunnittele toimintaSuunnittele toiminta
Varaa resurssit Varaa resurssit
KiinnitKiinnitää aikatauluaikataulu
Tee arviointiTee arviointi
Raportoi havainnotRaportoi havainnot
Seu
raa
vaik
utu
ksia
Seu
raa
vaik
utu
ksia
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 11
KeskinKeskinääinen arviointiinen arviointi
Tarvitsee asiantuntijaryhmän hankkeen vetämiseenosakas jokaisesta osallistuvasta organisaatiostaosakkaiden intresseissä voi olla erojasamoin arvioinnin tavoitteissa
keskinäinen intressi parantaa luottamustalöytää heikkouksiaymmärtää vahvuuksiarakentaa osaavaa yhteistyötä arvioinnin kohteena olevalla osaamisalueella
Yhteisesti hyväksytty arviointiperusta menetelmä, ohjeisto, standardi
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 12
KeskinKeskinääinen arviointiinen arviointi
Kaksi osapuolta, yksi kohdealue, yhteinen perusta
ToimintoToiminto
KumppaniKumppaniOrganisaatioOrganisaatio
OhjeistoOhjeisto
ArviointiArviointi
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 13
Riippumaton arviointiRiippumaton arviointi
Ulkoiset asiantuntijat suorittavat arvioinnin
Perustanaorganisaation oma tavoite tai yleinen toimintaohjeistolailliset tai liiketoiminnalliset velvoitteetstandardi
Organisaation sisäisen asiantuntemuksen tulee olla riittävän korkea tasoista
kontrolloimaan saadun arviointipalvelun laadukkuuttatoimimaan saatujen havaintojen mukaisesti
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 14
Riippumaton arviointiRiippumaton arviointi
Voidaan käyttää rakentamaan aiemmin tuntemattomien osapuolten välistä luottamusta osoittamalla vastaavuus
kansallisiin tietoturvavaatimuksiinkansainvälisiin tietoturvallisuusalan standardeihinarvostettuun laatujärjestelmään
Eräitä normistojaBS 7799, ISO/IEC 17799:2000 (www.bsi-global.com)SSE-CMM, ISO/IEC 21827:2002 (www.sse-cmm.org)COBIT (www.isaca.org)ITIL (www.itil.org) VAHTI (www.vm.fi/vahti-ohjeet)
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 15
Riippumaton arviointiRiippumaton arviointi
Riippumaton arvioija, kohdetoiminto, yleinen normi
ToimintoToiminto
OrganisaatioOrganisaatio
OhjeistoOhjeisto
ArvioijaArvioija
ArviointiArviointi
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 16
Turvallisuuden arviointiTurvallisuuden arviointi
Tietoturva-arviointi voidaan suorittaa samalla kun toimitetaan
organisaatioturvallisuuden arviointilaatujärjestelmän arviointisisäinen tarkastus
Arviointimenetelmää tulee tehostaa käyttämällätietoturvallisuuteen liittyviä tarkistuslistojatietoturvallisuuteen liittyviä kyselysarjojatietoturvallisuuteen liittyviä mittareita
Jo organisaatiossa työskentelevät tarkastajat voidaan valmentaa tietoturvatarkastajiksi
uusia ura vaihtoehtoja ja uusia projektiresursseja
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 17
EsimerkkejEsimerkkejää arviointien kestosta sekarviointien kestosta sekää ryhmryhmään kokoonpanostan kokoonpanosta
Teknisen tietoturvallisuuden itse arviointiKeskinäinen tietoturvallisuuden johtamisjärjestelmän arviointiRiippumaton BS 7799 vastaavuuden arviointi
Organisaation erOrganisaation erääiden toimintojen vastaavuus standardiin iden toimintojen vastaavuus standardiin 11--2 vuotta 2 vuotta 22--4 arvioijaa4 arvioijaa
TietojenkTietojenkääsittelyn laadun arviointi sittelyn laadun arviointi 22--4 kuukautta4 kuukautta22--4 arvioijaa4 arvioijaa
SisSisääverkkopalveluverkkopalvelu11--2 kuukautta2 kuukautta11--2 arvioijaa2 arvioijaa
*) numerot vaihtelevat tosiasiallisen *) numerot vaihtelevat tosiasiallisen hankkeen tyhankkeen työömmäääärrään mukaisestin mukaisesti
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 18
Teknisen tietoturvallisuuden itse arviointiTeknisen tietoturvallisuuden itse arviointi
Kohde: Paikallisverkon sisäverkkopalvelu
Ei-kriittinen, tuntien palvelukatkot työaikana siedettäviäSijaitsee luotetussa LAN segmentissä, joka on sisemmässäturva-alueessaJärjestelmässä on henkilöstön nimitietoja sekäorganisaation sisäistä tietoaToteutettu yleisesti käytetyllä tietokantamoottorilla ja selainkäyttöliittymällä
Arvioinnin tavoite:Paikallinen tietohallinto tarvitsee vankan ymmärryksen järjestelmän tietoturvaominaisuuksista
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 19
Teknisen tietoturvallisuuden itse arviointiTeknisen tietoturvallisuuden itse arviointi
Arvioijaryhmä:Kokenut teknisen tietoturvallisuuden arvioija, sertifioitu ammattilainenTietoturvallisuuteen suuntautunut harjoittelija
Arviointihanke:Työkalun valinta, työsuunnitelma, tapaamiset paikallisen tietohallinnon kanssaTyökalujen ja –menetelmientutkimista Aikataulun kiinnittäminen ja tarvittavien lupien hankinta Varsinainen arviointi, yksi työpäiväRaportointiSeuraukset paikalliseen tietoverkkoarkkitehtuuriin
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 20
Teknisen tietoturvallisuuden itse arviointiTeknisen tietoturvallisuuden itse arviointi
Muiden töiden ohella suoritettuna vaati kaksi kuukauttaVastaava uusi suoritus veisi valmisteluineen 3-5 työpäivää
LAN segmenttiLAN segmentti
Suodattava reititinSuodattava reititin
Intranet palveluIntranet palvelu
Paikalliset kPaikalliset kääyttyttääjjäätt
Intranet kIntranet kääyttyttääjjäätt
TeztaajaTeztaaja
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 21
Teknisen tietoturvallisuuden itse arviointiTeknisen tietoturvallisuuden itse arviointi
Tulokset:Parempi ymmärrys teknisestä ympäristöstäKäytössä olevien turvamenetelmien toimivuuden testaus Tuore riskitason arvio
Testityökalut koottu kannettavalle työasemalleHarjaantunut henkilöstö suorittamaan vastaavaa uutta arviointia
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 22
KeskinKeskinääinen tietoturvallisuuden johtamisjinen tietoturvallisuuden johtamisjäärjestelmrjestelmään arviointin arviointi
Kohde: WAN verkkopalvelun tietoturvallisuuden hallintamenettelyt
Kriittinen – ennakoimattomia palvelukatkoja ei saa ollaVerkkopalveluita käytetään useista toimipisteistäAsiakkaan tietojen käsittelytavat on analysoitavaPerustana kansallinen tietoturvaohjeisto
Arvioinnin tavoite:Luottamuksen ylläpito ja vahvistaminen asiakkaiden ja palvelun tarjoajan välillä
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 23
KeskinKeskinääinen tietoturvallisuuden johtamisjinen tietoturvallisuuden johtamisjäärjestelmrjestelmään arviointin arviointi
Arvioijaryhmä:Kaksi kokenutta arviointiryhmän johtajaa, joilla molemmilla ammattitaitosertifikaattejaLiiketoiminnan asiantuntijoita sekä turvallisuusasiantuntijoita, joista osalla ammattitaitosertifikaatteja
Arviointihanke:Menetelmän valinta, suunnittelu, työryhmäkokouksetLomakesarjan ja raporttipohjan sovittaminenAikataulun kiinnitys sekä tarvittavien lupien hankintaArviointi, yksi työpäivä toimipistettä kohden, 2-6 arvioijaaArvioinnin jälkeiset palautekeskustelut, raportointiTurvallisuuskulttuurin ymmärtäminenEhdotuksia tietoturvallisuuden kehittämiseen
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 24
KeskinKeskinääinen tietoturvallisuuden johtamisjinen tietoturvallisuuden johtamisjäärjestelmrjestelmään arviointin arviointi
Lomake- ja raporttimalli sovitettu VAHTI-ohjeista
TietoturvapolitiikkaTietoturvapolitiikkaTurvallisuuskTurvallisuuskääsikirjasikirjaKKääyttyttääjjään tietoturvakn tietoturvakääsikirjasikirjaLiiketoiminnan Liiketoiminnan jatkuvuussuunnitelmajatkuvuussuunnitelma::
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 25
KeskinKeskinääinen tietoturvallisuuden johtamisjinen tietoturvallisuuden johtamisjäärjestelmrjestelmään arviointin arviointi
Työ vaati 4 kuukautta, useita arviointivierailujaYksi tietoturva-asiantuntija koko hankkeen ohjaajanaYksi tietoturva-asiantuntija toisen arviointiryhmän johtajana10 asiakkaan ja 10 palvelun tarjoajan asiantuntijaa 1-2 kuukautta osa-aikaisesti hankkeessa
Seu
raa
jatk
oto
imen
pitei
tSeu
raa
jatk
oto
imen
pitei
t ääRaportoi havainnotRaportoi havainnot
KiinnitKiinnitää aikataulu aikataulu
Tee arvioinnitTee arvioinnit
Varaa resurssit Varaa resurssit
Suunnittele toiminta, tuota lomakkeetSuunnittele toiminta, tuota lomakkeet
MenetelmMenetelmään valintan valinta
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 26
Riippumaton BS 7799 vastaavuuden arviointiRiippumaton BS 7799 vastaavuuden arviointi
Organisaation nimettyjen toimintojen arviointi BS 7799 vastaavuuden suhteen
Verkkopalvelu Nimettyjen yksiköiden tietojenkäsittely
1-2 vuotta tarvittavan osaamistason saavuttamiseen Osaamisen lähtötaso vaikuttaa hankkeen kestoonVoi vaatia useita vuosia
2-4 asiantuntijaa organisaation sisältäUlkoisten asiantuntijoiden käyttö erityistehtävissäVarsinaisen standardia vastaan auditoinnin suorittaa sertifiointipalvelun tarjoaja
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 27
Riippumaton BS 7799 vastaavuuden arviointiRiippumaton BS 7799 vastaavuuden arviointi
Suomessa BS 7799 auditointipalvelua tarjoaaSFS-sertifiointi oy (www.sfs-sertifiointi.fi)
Sertifiointi BS 7799 suomennosta vastaanBS 7799-1:fi Tietoturvallisuuden hallinta. Osa 1: Tietoturvallisuuden hallintajärjestelmiä koskeva menettelyohje (Information security management. Part1: Code of practice for information securitymanagement, confirmed 2000-03-27 )BS 7799-2:fi Tietoturvallisuuden hallintajärjestelmät. Vaatimukset ja soveltamisohjeet (Information securitymanagement. Specification with guidance for use, confirmed 2003-03-31)
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 28
Riippumaton BS 7799 vastaavuuden arviointiRiippumaton BS 7799 vastaavuuden arviointi
Eräitähallinnonsertifikaatin haltijoita:
Väestörekisterikeskus, www.vaestorekisterikeskus.fi
Väestökirjanpidon kehittäminen, tekninen ylläpito ja ohjaus sekä henkilön sähköiseen tunnistamiseen liittyvän varmennepalvelutoiminnan kehittäminen.
Toijalan kaupungin terveyskeskus Toijala,www.toijala.fi
Terveyskeskuksen toiminta lukuunottamattapäiväsairaalaa.
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 29
Tietoturvallisuuden laadun mittaaminenTietoturvallisuuden laadun mittaaminen
Vahinkojen lukumääräVirus havainnotPalomuurin suodatus Roskapostin suodatus Tietoturvakoulutuksen koulutuspäivät tai opetustunnitTietoturvaohjeiston kattavuus ja asianmukaisuusTietoturvatoiminnan kustannuksetTietoturvallisuuteen liittyvät työtunnit tai henkilötyöpäivät
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 30
Tietoturvavahinkojen lukumTietoturvavahinkojen lukumäääärrään mittaaminenn mittaaminen
Raportointijärjestelmän tulee määritellä asialliset vahinkoluokat
Vakava tietovahinko – kirjallinen vahinkoselvitysRikostutkinta – rikosilmoitusMerkittävä tietovahinko– kirjataan ylös
Sovelletaan tietoriskien kuvaamiseen käytettyjä periaatteitaVakava riski – vakava tietovahinko Merkittävä riski - merkittävä tietovahinko Hyväksyttävä riski - hyväksyttävä tietovahinko
*) Vahinkojen mittarointi ei ole tiedettä, käytännöllinen tulos riittää
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 31
A, LamauttajaB, PysäyttäjäC, KiusaajaD, SiedettäväE, Normaali
toiminta
Vahinkojen Vahinkojen mittarointimittarointi
AABB
CCDDEEtaajuus harva taajuus tihetaajuus harva taajuus tiheää
lam
au
ttaa t
oim
inn
an
lam
au
ttaa t
oim
inn
an
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 32
Vahinkojen Vahinkojen mittarointimittarointi
Erilaisia tapahtumia erilaisista vahinkoluokista
A, LamauttajaHaittakoodi-epidemia villinä sisäverkossa
B, PysäyttäjäVerkkopalvelun tilapäinen katkeaminen
C, KiusaajaJatkuva virta tilaamatonta aineistoa työasemalle verkkosamoilun sivuvaikutuksena
D, SiedettäväKulunvalvonnan alaisessa toimistossa asiakirjat jäävät työpisteen työpöydälle
E, Normaali toimintaSähköpostin luku, paikallisten toimistosovellusten käyttö
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 33
Vahinkojen Vahinkojen mittarointimittarointi
Vahinkoluokat tulee kuvata metriikan käyttöönottoa varten
Kuvaukset liiketoimintaympäristön kannalta tarkoituksen mukaisilla käsitteillä ja sanastollaTavoitteena helpottaa raportointia
“Kuinka kirjaan tämän vahingon oikein?”
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 34
Vahinkojen Vahinkojen mittarointimittarointi
A luokan tietovahingotVahinko on varsin varmasti odotettavissa tarkastelujaksolla jaraskas liiketoiminnallinen tappio on vääjäämätön kun tällainen vahinko kohtaa organisaation.
B luokan tietovahingotVahinko tuskin tapahtuu tarkastelujakson aikana.Vahinko haittaisi liiketoimintaa ja aiheuttaisi suurta tappiota.
C luokan tietovahingotVahinko mitä ilmeisemmin tapahtuu, se on odotettavissa.Liiketoiminta jatkuu vahingon aiheuttamasta häiriöstähuolimatta.Tällaisia vahinkoja sattuu taajaan javahinkojen seurausten hallinta kuluttaa tietoturvaresursseja.
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 35
Vahinkojen Vahinkojen mittarointimittarointi
D luokan tietovahingotTällaisia häiriöitä tietoturvallisuudelle sattuu aina silloin tällöin.Liiketoiminnallinen vaikutus on pieni tai häviävä.Häiriön vaikutus normaaliin toimintaan on siedettävä.
E luokka, normaali toimintaHäiriötön organisaation toimintaHyvä arkipäivä
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 36
Vahinkojen Vahinkojen mittarointimittarointi
Vahinkojen mittaaminen on houkuttelevaa, muttaniiden perustalta tehtävissä trendianalyyseissä on oltava varovainen.
Mitä tehokkaampi ja kattavampi organisaation raportointijärjestelmä on - ja mitä kypsempi turvallisuuskulttuuri organisaatiossa vallitseeniin sitä enemmän vahinkoilmoituksia on odotettavissa.
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 37
Suodatinten Suodatinten mittarointimittarointi
Virusten suodatusPaljonko viruksia havaitaan / estetään
Palomuurin suodatusKuinka monta ja millaisen protokollan tietoliikennetapahtumaa estetään
Roskapostin suodatusKuinka monta viestiä estetään sisäänpäin / ulospäin
Ymmärrettävää, mitattavaa, hienoa bisnesgrafiikkaaOta mukaan myös ylläpidon tietoliikennetilastoja
Kuinka usein suodatin päivitetään Normaalien tietoliikennemäärien avulla saadaan prosentteja
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 38
Suodatinten Suodatinten mittarointimittarointi –– LiikennemLiikennemäääärrää
Virus X torjuttu
Liero Z torjuttu
Muu häiriöliikenne
Liiketoiminnanhyötyliikenne
*) mutta tied*) mutta tiedäätktköö mitmitää liikennettliikennettää sissisääverkossa todella liikkuu?verkossa todella liikkuu?
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 39
Suodatinten Suodatinten mittarointimittarointi –– TrendianalyysiTrendianalyysi
0102030405060708090
100
Q1 Q2 Q3 Q4
LiiketoiminnanhyötyliikenneVerkkosamoilu
Estetty häiriöliikenne
*) kuvaa sit*) kuvaa sitää millaisesta tietoliikenteestmillaisesta tietoliikenteestääorganisaatio on maksanut viime aikoinaorganisaatio on maksanut viime aikoina
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 40
TietoturvakoulutusTietoturvakoulutus
Koulutettavapäivien tai opiskelutuntien määrä½ päivän seminaari tarjolla seurantakaudella2 oppituntia X 30 osallistujaa seurantakaudella tekee1 ½ opintoviikkoa
Turvallisuuskoulutuksen kattavuus 700 osallistujaa tietoturvakoulutustilaisuuksiin seurantakaudella tekee 7% 10’000 hengen organisaatiossa
Voidaan erikseen seurata myös Ammatillista koulutusta, oppilaitosten kurssien suorittamista, verkkokurssien läpikäyntiäPalvelu- ja ratkaisutoimittajien seminaareja ja tietoiskujaOmia räätälöityjä tietoturvakoulutustilaisuuksia
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 41
TietoturvakoulutusTietoturvakoulutus
Osasto Päiväys Kesto Osallistujat Opintotunnit
Web 11.3.
8.1.
13.1.
4.2.
Q1
1 ½ t 30 45 t
Terveys 1 t 80 80 t
Sidosryhmä 1 ½ t 30 45 t
Kehittäjät 2 t 10 20 t
YHTEENSÄ 6 t =1 kurssi-päivä
150 oppilasta 190 t =4 ¾ opinto-viikkoa
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 42
Tietoturvaohjeiston kattavuus ja asianmukaisuusTietoturvaohjeiston kattavuus ja asianmukaisuus
Suhteessa yleisiin hyviin tietoturvallisuuden hallintatapoihin tai standardeihin
Tietoturvapolitiikka Turvallisuuskäsikirja Käyttäjän tietoturvaohjeLiiketoiminnan jatkuvuussuunnitelma:
Myös dokumentaation laatua voidaan mitataVersiointi, muutosten jäljitettävyysKattavuus, ajankohtaisesti asianmukaisuus Saatavuus organisaatiossa, jakelumenetelmä:
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 43
Tietoturvaohjeiston kattavuus ja asianmukaisuusTietoturvaohjeiston kattavuus ja asianmukaisuus
Tietoturvapolitiikka
Päivitetään kerran vuodessaTalletettu versionhallintaanMuodollisesti hyväksytty
Käyttäjän tietoturvaohje
Päivitetään kerran vuodessaTalletettu versionhallintaan
Muodollisesti hyväksytty
Saatavilla kaikissa työpisteissä
:
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 44
Tietoturvaohjeiston kattavuus ja asianmukaisuusTietoturvaohjeiston kattavuus ja asianmukaisuus
Jos dokumentaation laatutavoite on asetettuetukäteenstandardia tai tunnettua hyvää tietoturvatapaa soveltaen
niin suoritus on mitattavissa.
Esim.60% tietoturvallisuuden hallintajärjestelmän asiakirjoista on muodollisesti hyväksytty.90% tietoturvallisuuden hallintajärjestelmän asiakirjoista on talletettu versionhallintajärjestelmään.Kaikki tietoturvallisuuden hallintajärjestelmän asiakirjat ovat saatavissa sisäverkkosivun tietoturvakansiosta.
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 45
Tietoturvatoiminnan kustannuksetTietoturvatoiminnan kustannukset
ProjektitLöytyy paikallisesta projektinhallintajärjestelmästäLaiteinvestoinnit, palvelumaksut, projektien palkat
HankinnatUlkoistetut tietoturvapalvelut
Palomuuriasennus, auditoinnit, konsultointiJärjestelmä- tai laitehankinnat
Tunkeutumisen esto/havainnointijärjestelmäHaittaohjelman torjuntajärjestelmä laitteineenSalakirjoitusohjelmistoAsiointikortti, henkilökortti, turvapoletti
Tietoturvatoimintaan osallistuvan henkilöstön palkkakulut
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 46
Tietoturvatoiminnan kustannuksetTietoturvatoiminnan kustannukset
Tietoturvakustannukset tulee budjetoidatietoturvallisuuden omalle kustannuspaikalle taisisällyttää näkyväksi osaksi toimintojen kustannuksia.
Toimintojen budjetteihin sisällytetty tietoturvabudjetti voi olla vaikea kohdentaa tehokkaasti
Tietoturvakustannusten näkyvyys auttaa saavuttamaan halutun tietoturvavaikutuksen
Minne tietoturvabudjetti menee?Mitä organisaatio saa tietoturvainvestointiensa vastineeksi?Paljonko tietoturva maksaa seurantakaudessa tai vuodessa?
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 47
Tietoturvatoiminnan kustannuksetTietoturvatoiminnan kustannukset
Hankinta (sijoitus) Ajoitus Budjetti Vastuu
Salakirjoitusohjelmisto 100 työasemalle
Tammikuu 5’500 € Tekninen asiakastuki
Palomuurin asennus, ulkoinen asiantuntija
Helmikuu 1’000 € Verkkopalvelut
Asiointikortit turvapostia varten, 20 korttia
Maaliskuu 800 € Henkilöstöhallinto
YHTEENSÄ Q1 7’300 €
*) sulautetut kulut voi olla vaikea *) sulautetut kulut voi olla vaikea perustella johdolleperustella johdolle
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 48
Tietoturvallisuuteen liittyvTietoturvallisuuteen liittyvää tytyööpanospanos
Montako organisaation omaa tietoturva-ammattilaistaKokopäiväisessä työsuhteessaOsa-aikaisesti, oman toimen ohella
Ulkopuoliset tietoturva-asiantuntijatKonsulttipäivätTukitunnitProjektitunnit
Tietoturvatoimintaan liittyvät työryhmätTyöryhmien määräTyöryhmien toimintaan panostetut työtunnit Sisäiset johtoryhmät, ohjausryhmät, työryhmätUlkoiset asiantuntijaryhmät
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 49
Tietoturvallisuuteen liittyvTietoturvallisuuteen liittyvää tytyööpanospanos
Tehtävä Tietoturva-päällikkö
Tietoturva-suunnittelija
Tietoturva-teknikko
Tietoturva-päivä, koulutus
4 päivää 2 päivää 1 päivää
Tekninen tietoturva-auditointi
4 päivää 6 päivää 8 päivää
Kertakirjaus-järjestelmä-hankkeen –projektitehtävät
5 päivää 5 päivää 5 päivää
YHTEENSÄ2 henkilötyö-kuukautta
13 päivää 13 päivää 14 päivää
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 50
Tietoturvallisuuteen liittyvTietoturvallisuuteen liittyvää tytyööpanospanos
Tuntikirjanpidossa tai projektihallinnassa
omat koodit tietoturvatehtäville
”Kriisinhallintaryhmä”, ”Tietovahingon selvitystyö””Ylläpito”, ”Palomuurin ylläpito””Koulutus”, ”Tietoturvatietoisuuden lisääminen””Sisäinen tarkastus”, ”Tietoturva-arvioinnit”
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 51
BSC (BSC (balancedbalanced scorescore cardcard) ) --menetelmmenetelmää
Tasapainotettu arviointi (BSC) –menetelmän soveltamisesta poliisihallinnossa on julkaistu
”Tasapainotettu arviointi (BSC) poliisiyksikön toiminnan ohjausvälineenä - kokemuksia ja havaintoja”Poliisiosaston julkaisut 9/2002 ”Tasapainotettu arviointi (BSC) poliisitoiminnan strategisen ohjauksen ja arvioinnin välineenä”Poliisiosaston julkaisut 14/2001“The BSC for the Finnish Police”Poliisiosaston julkaisut 14/2002
Net: www.poliisi.fi/julkaisut
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 52
BSC (BSC (balancedbalanced scorescore cardcard) ) --menetelmmenetelmää
BSC–menetelmää on sovellettu myös poliisin tietohallinnon ohjauksessa
BSC metriikat tietoturvallisuudelle on kehitetty yhteistyössä
laatuasiantuntijoiden,tietoturva-asiantuntijoiden,tietohallinnon asiantuntijoiden japoliisin ylijohdon
kesken.
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 53
EFQMEFQM--mallimalli
Poliisin laatutoiminnasta on julkaistu”Laatu poliisitoiminnassa. Poliisitoiminnan laadun itsearviointi EFQM-mallin avulla”Poliisiosaston julkaisut 1/2003
Net: www.poliisi.fi/julkaisut
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 54
EFQMEFQM--mallimalli
Julkishallinnossa käytetään laajasti Euroopan laatupalkinnon normistoa (EFQM)Sen avulla voidaan parantaa yhteistyötä ja vertailtavuutta muiden organisaatioiden kanssa.Poliisin laadunkehittämisen tarkoituksena on
poliisiorganisaation saaminen toimimaan entistäparemmin siten, ettäkansalaiset välittöminä asiakkaina ja koko ympäröiväyhteiskunta voivat olla tyytyväisiä ja ettähenkilöstön hyvinvointi ja tyytyväisyys varmistetaan.
Luottamus poliisiin on hyvällä tasolla ja sen säilyminen voidaan varmistaa olemalla valmiina jatkuvasti kehittämään laatua ja tuloksellisuutta.
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 55
VAHTIVAHTI--ohjeetohjeet, Tietoturvallisuus ja tulosohjaus, VAHTI 2/2004, Tietoturvallisuus ja tulosohjaus, VAHTI 2/2004
Tässä suosituksessa on tiiviisti esitetty tietoturvallisuuden kehittämisen keskeiset periaatteet ja niiden yhteys
tulosohjaukseen virastojen johtamiseen sekätoiminnan arviointiin.
Suosituksessa tietoturvallisuutta ja tietohallintoa tarkastellaan osana
virastojen ja laitosten johtamista,palvelujen tuottamista ja laadunhallintaa.
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 56
Johdon tukiJohdon tuki
Organisaation ylimmän johdon näkyvä tuki on välttämätönresurssien saamiseksi tuloksen tekemiseksi
Pidä johto ajan tasalla Viikoittaiset tilannekatsauksetKuukausiraportit Neljännesvuosittaiset analyysit Vuosikertomukset Nopeat tilannekohtaiset tietovahinkoraportit
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 57
YhteenvetoYhteenveto
Tietoturvallisuustoiminnan laatu on mitattavissa teknisen tietoturvallisuuden osalta tietoturvahallinnon osalta
Metriikat on suunniteltava linjassa organisaation strategisen tavoitteen kanssa (visio)täyttämään yleisesti käytössä olevat tietoturvavaatimukset, standardi tai menettelytapaohjeistoyhteistyössä kaikkien osapuolten kanssa
Menestyminen tietoturvatyössä vaatiiylimmän johdon sitoutumistajoka on mahdollista saavuttaa tarkoituksenmukaisella ja liiketoiminnan kannalta hyödyllisellä raportoinnilla
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 58
Aikaa keskustelulleAikaa keskustelulle
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 59
LukemistaLukemista
Valtioneuvoston turvallisuus- ja puolustuspoliittinen selonteko 24.9.2004Net: www.valtioneuvosto.fi
Arjen turvaa - sisäisen turvallisuuden ohjelma Sisäasiainministeriön julkaisut 44/2004Net: www.intermin.fi/sisainenturvallisuus
VAHTI-ohjeetValtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI), 1997-2004, noin 30 asiakirjaa suomeksi, ruotsiksi ja englanniksiNet: www.vm.fi/vahti-ohjeet
2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 60
LukemistaLukemista
Valtion tietohallinnon ohjaus ja organisointiValtioneuvoston kanslian raportteja 6/2004, sekäValtioneuvoston tiedotusyksikön tiedote 311/2004, 5.10.2004Net: www.vnk.fi
Yhteiskunnan elintärkeiden toimintojen turvaamisen strategiaPuolustusministeriön julkaisujaNet: www.defmin.fi