Embed Size (px)
DESCRIPTION
Valtiokonttori, Valtion IT-palvelukeskuksen asiakaspäivä 16.10.2013: Tietoturvallisuuden perustasolta kohti korotettua tasoa - johtava asiantuntija Erja Kinnunen, Valtiokonttori, Valtion IT-palvelukeskus
Citation preview
Tietoturvatasot; perustaso täyttyi 30.9.2013, matkalla kohti korotettua tasoa? Johtava asiantuntija Erja Kinnunen Valtiokonttori, Valtion IT-palvelukeskus
16.10.2013 VIP-asiakaspäivä, Erja Kinnunen
2006
2006 2008 2007 2009 2011 2010
Yhte
ento
imiv
uus
(ark
kite
htuu
rit ja
men
etel
mät
)
sähköisten palvelujen alusta
rajapinnat perustieto-varantoihin
asiakaskeskei-set palvelut
perustietovarantoja käytetään laajasti
Organisaatiot ja tietojärjestelmät täyttävät määritellyt tietoturvatasot
yhteiset arkkitehtuurit
neuvontapalvelut
hankesalkku
hankehallinnan menetelmät
järjestelmäkehitys-menetelmä
talous- ja henkilöstöhallinto
dokumentinhallinta ja arkisto
talousohjaus
tunnistaminen kansalaiset
virkamiehen tunnistaminen ja käyttöoikeuksien hallinta
työasemapalvelu
tietoliikennekilpailutus
yhteinen, turvallinen tietoliikenneverkko
sähköposti, kalenteri
käyttöpalvelut
tietoturvan kehittämisohjelma
auditointimenettelyt
riskianalyysit
poikkeamaraportointi
VYSE
2007
2008
2009
2010
2011
2012
yhteiset perustieto-tekniikkapalvelut
Varautuminen
työasema-kilpailutus
tunnistaminen yritykset
ValtIT- toimintasuunnitelma
Tietoturvatasot
Kuka muistaa vielä tämän?
Mistä kaikki alkoi?
16.10.2013 VIP-asiakaspäivä, Erja Kinnunen
- Tietoturvatasot-hanke VMn ValtIT-yksikössä 2007-2008 - Vaatimukset ja ohje olivat lausunnoilla marraskuussa 2008
- Tietoturvallisuusasetus 681/2010
- Astui voimaan 1.10.2013 - 5 § Tietoturvallisuuden perustason toteuttaminen - 23§ Siirtymäsäännökset
Viranomaisen tietojenkäsittely on saatettava vastaamaan asetuksen 5 §:ssä säädettyjä perustason tietoturvallisuusvaatimuksia kolmen vuoden kuluessa asetuksen voimaantulosta.
- Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010
Mitä muuta on tehty tietoturva-asetuksen ja tasojen tueksi?
16.10.2013 VIP-asiakaspäivä, Erja Kinnunen
Uudet VAHTI-ohjeet ovat huomioineet tietojen luokituksen ja tasot
- Sisäverkko-ohje, VAHTI 3/2010 - ICT-varautumisen vaatimukset, VAHTI 2/2012 - Valtion ICT-hankintojen tietoturvaohje, VAHTI 3/2011 - Teknisen ICT-ympäristön tietoturva-ohje, VAHTI 3/2012 - Sovelluskehityksen tietoturvaohje, VAHTI 1/2013 - Toimitilojen tietoturvaohje, VAHTI 2/2013 - Lausunnoilla oleva Päätelaitteiden tietoturvaohjeluonnos
Missä nyt mennään?
16.10.2013 VIP-asiakaspäivä, Erja Kinnunen
- VM:n perustettiin tietoturvatasojen yhteishankkeet tukemaan tasojen toteuttamista
- Toteuttajana Valtion IT-palvelukeskus - Pilottina THK-hanke kuudelle Valtion IT-palvelukeskuksen
ministeriöasiakkaalle
- Hankkeiden aikataulut ja osallistujamäärät 1. Hanke päättynyt 12/2012, lopussa 14 organisaatiota 2. Hanke päättynyt 01/2013, lopussa 18 organisaatiota 3. Hanke päättyy 05/2013, lopussa 17 organisaatiota 4. Hanke päättyy 12/2013, osallistuu 13 organisaatiota
Missä nyt mennään?
16.10.2013 VIP-asiakaspäivä, Erja Kinnunen
- Perustason siirtymäaika päättyi 30.9.2013 - Auditointeja on tehty aktiivisesti
- Valtion IT-palvelukeskus edellyttää palveluihinsa liittyviltä asiakkailta
- Yhteishankkeisiin osallistuvilta organisaatioilta edellytetään auditointia
- Auditoituja organisaatioita noin 100 - Perustason auditoidusti saavuttaneita 23 - Valtion IT-palvelukeskuksen auditointi koskee organisaation
hallinnollista tietoturvallisuutta ja perusinfraa - Kaikki valtionhallinnon N * 1000 tietojärjestelmää pitäisi myös saada
perustasolle
Kohti korotettua tasoa
16.10.2013 VIP-asiakaspäivä, Erja Kinnunen
- Siirtymäaika 5 vuotta luokituspäätöksestä - Luokituspäätöksiä tehty useimmissa ministeriöissä, joillain
hallinnonaloilla myös virastot olleet aktiivisia - Tuleeko korotetusta tasosta de facto 2015? - Mitä tarvitaan lisää korotetulle tasolle?
- Enemmän dokumentaatiota - Enemmän politiikkoja - Dokumenttien päivitystä - Enemmän säännöllisyyttä - Enemmän koulutusta - Harjoittelua ja testausta
Kohti korotettua tasoa
16.10.2013 VIP-asiakaspäivä, Erja Kinnunen
- Korotetun tason yhteishankkeet - Hankkeen suunnittelu tehdään 2013 - Valtion IT-palvelukeskus tekee hankesuunnitelman VM:lle, joka
asettaa hankkeen - Hanke keskittyy parhaiden käytäntöjen jakamiseen ja
tietojärjestelmien saattamiseen korotetulle tasolle - Pyritään käynnistämään 2 saman sisältöistä hanketta - Ennen kaikkea virastoille, joilla on yhteiskunnallisesti tärkeitä
tehtäviä
Jatkossa
16.10.2013 VIP-asiakaspäivä, Erja Kinnunen
- Tietoturvallisuus on jatkuvaa työtä - Se on integroitava organisaation varsinaiseen toimintaan ja
johtamiseen - Organisaatio tarvitsee tietoturvallisuuden hallintajärjestelmän - Tarkoittaa toimintaa vuosikello mukaan - Valtion IT-palvelukeskuksen / TORI:n palvelut toteuttamisessa apuna - VAHTIlta tulossa
- TTT vs. Katakri-kriteeristöjen vertailuväline - Tietoturvatasovaatimukset integroidaan tiukemmin Katakriin - Arviointihanke käynnistynyt; kuvaa auditointimenettelyitä,
toimijoita yms.
Kiitos!
Kysymyksiä? Johtava asiantuntija Erja Kinnunen
Valtiokonttori, Valtion IT-palvelukeskus etunimi.sukunimi(at)valtiokonttori.fi
tietoturva.vip(at)valtiokonttori.fi
www.valtiokonttori.fi/ttt
16.10.2013 VIP-asiakaspäivä, Erja Kinnunen
![226 pub.ppt [Yhteensopivuustila])japi.kapsi.fi/docs/tietu6-mittaaminen-3.2.10.pdf · Tietoturvallisuuden mittaaminen Aalto-yliopiston teknillinen korkeakoulu Koulutuskeskus Dipoli](https://img.pdfslide.tips/doc/110x75/5f101eaa7e708231d4478b2a/226-pubppt-yhteensopivuustilajapikapsifidocstietu6-mittaaminen-3210pdf.jpg)
