Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Tietoturvallisuuden hallinta VIP:issä Virtu-luottamusverkosto

JulkaistuTuomas Sipilä Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Tietoturvallisuuden hallinta VIP:issä Virtu-luottamusverkosto"— Esityksen transkriptio:

1 Tietoturvallisuuden hallinta VIP:issä Virtu-luottamusverkosto
Tommi Simula Tietoturva-asiantuntija (CISSP, GSEC, MCSE) Tietoturvapalvelut Valtion IT-palvelukeskus

2 Agenda Tietoturvallisuuden hallinnan lähtökohdat VIP:in palveluissa
VIP Tietoturvallisuus 1.0 Hankkeissa VIP Tietoturvallisuus 1.0 Jatkuvissa Palveluissa Liittyminen Virtu-luottamusverkostoon Palveluiden läpikäynti

3 Tietoturvallisuuden hallinnan lähtökohdat
Sisäiset velvoitteet Valtiokonttorin/VIPin tietoturvapolitiikka ISO27001 –standardiin pohjautuva tietoturvallisuuden hallintajärjestelmä Ulkoiset velvoitteet Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa /681 VAHTI 02/ Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta Julkisuuslakiin 621/1999 liittyvät määräykset Henkilötietolaki /523 Palveluiden läpikäynti

4 Miten tietoaineistot vaikuttavat tietoturvatason valintaan
salassa pidettävät tiedot ST I Erittäin salainen ST II Salainen ST III Luottamuksellinen ST IV Käyttö rajoitettu PERUSTASO ERITYISTASO KORKEA TASO KOROTETTU TASO TURVATTAVAT KOHTEET

5 Miten tietoturvallisuus toteutetaan?
Uusissa palveluissa osana hankkeen elinkaarenhallintaa, keskeisessä roolissa kilpailutuksessa edellytettävät tietoturvallisuutta koskevat vaatimusmääritykset VIP Tietoturvallisuus 1.0 hankkeissa -toimintamalli Jatkuvien palveluiden osalta edellytetään tietoturvatasojen ja muiden keskeisten palvelun tuottamiseen liittyvien toimintamallien saavuttamista VIP Tietoturvallisuus 1.0 jatkuvissa palveluissa - toimintamalli Palveluiden läpikäynti

6 Miten tietoturvallisuus toteutetaan?
Hankevaihe Tietoturvallisuus hankkeen suunnittelussa, kilpailutuksessa ja tuotantoon hyväksymisessä Tuotantovaihe – jatkuva palvelu Tietoturvallisuuden vuosikello Palveluiden läpikäynti

7 Suunnittelun ja kilpailutuksen tietoturva-vaatimukset
VAHTI 03/2011 – Valtion ICT-hankintojen tietoturvaohje Palveluiden läpikäynti

8 Tietoturvavaatimusten osa-alueet
Perustaso Korotettu taso Korkea taso Tietoturvatasovaatimukset (TTA 681/2010, VAHTI 2/2010) ST IV / III / II –tasojen tietoaineiston käsittelykyky ICT-varautumisen vaatimukset - VM-hanke, jolla vaatimukset viimeistellään ja virallistetaan, tässä käytetty luonnosversion vaatimuksia Palveluiden läpikäynti

9 Vaatimusalueet Tekniset vaatimukset Sovelluskehityksen vaatimukset
Palvelun tuottamiseen käytettävän palvelin- ja tietoliikenneympäristön, sekä käyttöpalvelutoimittajaa koskevat yleiset tietoturvavaatimukset Perustuvat yleisiin best practice –malleihin Sovelluskehityksen vaatimukset Vaatimukset palvelussa tai palvelulle tuotettavalle sovelluskoodille ja sovelluskehitysprosessille Lähtökohtana ensivaiheessa SANS/CWE Top25 ja OWASP Top Ten Palveluiden läpikäynti

10 Vaatimusalueet Hankittavan kohteen erityisvaatimukset
Esim. riskianalyysin pohjalta tuotettavat, juuri tätä hankintaa koskevat tietoturvavaatimukset Jatkuvassa palvelussa edellytettävät asiat Ennen hankkeen hyväksyntää edellytettävät jatkuvan palvelun tietoturvaprosesseihin liittyvät vaatimukset Perustuvat VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 –toimintamallin mukaiseen tietoturvallisuuden vuosikelloon Palveluiden läpikäynti

11 Jatkuvilta palveluilta edellytettävät tietoturva-asiat
Kun palvelu on toiminnassa ns. jatkuvana palveluna, siltä tulee edellyttää tiettyjä vaatimuksia. Palvelun tulee täyttää tietoturvatasojen mukaiset perustason vaatimukset palvelun käyttöönoton yhteydessä ja korotetun ja korkean tason osalta erikseen sovittavan aikataulun mukaisesti. Valtion IT-palvelukeskus on sitoutunut täyttämään korotetun tietoturvatason vaatimukset kaikissa keskeisissä palveluissa vuoden 2013 loppuun mennessä Palveluiden läpikäynti

12 Hyväksymiskriteeristö jatkuviin palveluihin siirtoon
Projekti- tai hankepäällikkö vastaa jatkuviin palveluihin siirrosta osana hyväksymistestausta Palvelun auditointi hyväksymistestauksen yhteydessä Auditointiin sisältyy minimissään määriteltyjen tietoturvatasojen ja ICT-varautumisen vaatimusten, sekä vaatimus-excelin välilehdellä 6 määritellyt ennen palvelun käyttöönottoa vaadittavien kohtien tarkastus Kaikki tekniset vakavat havainnot ja poikkeamat tulee olla korjattu ennen käyttöönottoa tai siirtoa jatkuviin palveluihin Muista merkittävistä havainnoista tulee olla aikataulutettu korjaussuunnitelma Asetetut vaatimukset lisätään palvelun turvallisuussopimuksen liitteeksi Palveluiden läpikäynti

13 VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli
Järjestelmän ja ympäristön perustiedot ja kuvaukset Turvallisuuskuvaus, järjestelmäkuvaus, rekisteriselosteet ICT-riskien arviointiprosessi Arvioidaan vuosittain, kehitys- ja korjaustoimenpiteiden etenemisen seuranta 2-4 kertaa vuodessa Toipumissuunnitelma(t) Palvelu- tai järjestelmäkohtainen yksityiskohtainen suunnitelma teknisistä häiriöistä toipumiseen Häiriöviestinnällä keskeinen rooli Palveluiden läpikäynti

14 VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli
5. Palvelun auditointisuunnitelma sekä suoritettavat säännönmukaiset auditoinnit Säännölliset tietoturva-auditoinnit palvelun kriittisyyden ja siinä käsiteltävien tietojen vaatimusten mukaan Valtiokonttori osallistuu VM:n rahoittamaan haavoittuvuusskannauspalvelu-hankkeeseen ja kaikki keskeiset palvelut liitetään tähän palveluun 6. Sopimusten katselmointi tietoturvallisuuden osalta Vuositasolla katselmoidaan sopimusten toteutuminen 7. Tietoturvallisuuden liittäminen toimittajayhteistyöhön Säännöllisissä toimittajatapaamisessa tietoturva-asiat ovat asialistalla (poikkeamat, raportit, kehitys) Palveluiden läpikäynti

15 VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli
8. Tietoturvapoikkeamien hallinta ja raportointi Häiriötilanteiden hallinta, eli vastuut, yhteyskanavat ja eskalointi tietoturvapoikkeamien tai niiden epäilyjen ilmetessä 9. Tietoturvallisuuden vastuunjakotaulukko Kuvaus tietoturvallisuuden vastuista sidosryhmittäin ja rooleittain Suosituksena RACI-malli 10. Palvelun tietoturvallisuuden vuosikello Miten edellä kuvatut toimenpiteet sidotaan organisoituun ja säännölliseen toimintamalliin Palveluiden läpikäynti

16 Tietoturvallisuuden vuosikello - esimerkki
Palveluiden läpikäynti

17 Liittyminen Virtu-luottamusverkostoon
Palvelun omistaja (VIP) asettaa palveluun liittymisen edellytykset tietoturvallisuuden osalta. Virtu IdP -palvelun osalta asiakkaan IdP- palveluympäristöltä edellytetään tietoturvatasojen korotettua tasoa. Palveluun liittyvä organisaatio tilaa auditoinnin VIP:iltä. Auditointiin sisältyy organisaation arviointi sekä IT-arviointi. Jos poikkeamia löytyy, tehdään toimenpidesuunnitelma poikkeamien korjaamiseksi. Virtun kannalta on tärkeätä, että organisaatiolla ei ole kriittisiä poikkeamia, jotka vaarantaisivat sekä liittyvän organisaation, Virtu-palvelun sekä mahdollisesti myös muiden palvelua käyttävien asiakkaiden tietoturvallisuuden. Kun kriittiset poikkeamat on korjattu ja muiden merkittävien poikkeamien osalta on luotu aikataulutettu toimenpide- suunnitelma, voi organisaatio liittyä palveluun.

18 Kysymyksiä? VIP Tietoturvapalvelut
Asiantuntija- ja konsultointipalvelut Tietoturvapäällikköpalvelu Koulutuspalvelut Auditointi- ja tarkastuspalvelut VIP Tietoturvallisuuden Työkalupakki Kysy tietoturvallisuudesta Palveluiden läpikäynti

Lataa ppt "Tietoturvallisuuden hallinta VIP:issä Virtu-luottamusverkosto"

Samankaltaiset esitykset

Hajautettu kurssien toteutus ja kehitys OSCu-hankkeessa ITK’03 Kirsti Ala-Mutka, Sanna Räisänen TTY/Ohjelmistotekniikka.

Hajautettu kurssien toteutus ja kehitys OSCu-hankkeessa ITK’03 Kirsti Ala-Mutka, Sanna Räisänen TTY/Ohjelmistotekniikka.
Verkkoasioinnin uudistaminen – suuntaviivoja

Verkkoasioinnin uudistaminen – suuntaviivoja
Osaamisen ja sivistyksen parhaaksi Ammatillisen peruskoulutuksen valtionavustushankkeet Tuija Laukkanen 12.9.2013.

Osaamisen ja sivistyksen parhaaksi Ammatillisen peruskoulutuksen valtionavustushankkeet Tuija Laukkanen
Korkeakoulujen laatujärjestelmien seuranta- ja kehittämisseminaari 20.3.2014 Saimaan ammattikorkeakoulun laadun ja laatujärjestelmän kehittäminen Terttu.

Korkeakoulujen laatujärjestelmien seuranta- ja kehittämisseminaari Saimaan ammattikorkeakoulun laadun ja laatujärjestelmän kehittäminen Terttu.
Markkinointi 2011-2012 KJT-Johtokunta Open 29.3.2012.

Markkinointi KJT-Johtokunta Open
Laatujärjestelmä marjatiloilla/jatkojalostajalla

Laatujärjestelmä marjatiloilla/jatkojalostajalla
PK-kehittämispalvelut

PK-kehittämispalvelut
Olavi Manninen Tietoturvapäällikkö

Olavi Manninen Tietoturvapäällikkö
Copyright © Tekes Cleantech-yritykset ”Viisi tähteä”

Copyright © Tekes Cleantech-yritykset ”Viisi tähteä”
Projektisalkun hallinta

Projektisalkun hallinta
PARAS-ARVIOINTITUTKIMUSOHJELMA

PARAS-ARVIOINTITUTKIMUSOHJELMA
KAOS KAOS WORLD CAFE VALTIOVARAINMINISTERIÖSSÄ: JHS179 UUDISTUS Cafe 1 – Toiminta-arkkitehtuuri.

KAOS KAOS WORLD CAFE VALTIOVARAINMINISTERIÖSSÄ: JHS179 UUDISTUS Cafe 1 – Toiminta-arkkitehtuuri.
Valtioneuvoston periaatepäätös valtionhallinnon IT- toiminnan kehittämisestä 15.6.2006 Valtionhallinnon IT-strategia Tyytyväiset asiakkaat, tehokas.

Valtioneuvoston periaatepäätös valtionhallinnon IT- toiminnan kehittämisestä Valtionhallinnon IT-strategia Tyytyväiset asiakkaat, tehokas.
Café 2: Tietoarkkitehtuuri, hankehallinta, hallintamalli

Café 2: Tietoarkkitehtuuri, hankehallinta, hallintamalli
Mikä on Peppi projekti ja miten se etenee?

Mikä on Peppi projekti ja miten se etenee?
Laaja-alaista ja systemaattista vaarojen tunnistamista ja niiden aiheuttamien riskien suuruuden sekä merkityksen arvioimista. Ennakoivaa työsuojelua -

Laaja-alaista ja systemaattista vaarojen tunnistamista ja niiden aiheuttamien riskien suuruuden sekä merkityksen arvioimista. Ennakoivaa työsuojelua -
Korkeakoulujen ja opetusministeriön yhteinen tietohallintohanke, jota CSC koordinoi RAkenteellisen KEhittämisen Tukena TIetohallinto RAKETTI-XDW Käsitemäärittely,

Korkeakoulujen ja opetusministeriön yhteinen tietohallintohanke, jota CSC koordinoi RAkenteellisen KEhittämisen Tukena TIetohallinto RAKETTI-XDW Käsitemäärittely,
4.4 Yhteismitallista ja yhteentoimivaa tietoa hyödyntävien palveluiden tuottaminen s.15 5. Toimenpiteet s.15.

4.4 Yhteismitallista ja yhteentoimivaa tietoa hyödyntävien palveluiden tuottaminen s Toimenpiteet s.15.
Tietohallinnon sopimusjuridiikkaa eräitä näkökohtia

Tietohallinnon sopimusjuridiikkaa eräitä näkökohtia
Mikko Arasmaa / Tietohallinto

Mikko Arasmaa / Tietohallinto

Samankaltaiset esitykset

Iklan oleh Google