Tietoturvallisuuden hallinta VIP:issä Virtu-luottamusverkosto Tommi Simula Tietoturva-asiantuntija (CISSP, GSEC, MCSE) Tietoturvapalvelut Valtion IT-palvelukeskus 12.1.2012

Agenda Tietoturvallisuuden hallinnan lähtökohdat VIP:in palveluissa VIP Tietoturvallisuus 1.0 Hankkeissa VIP Tietoturvallisuus 1.0 Jatkuvissa Palveluissa Liittyminen Virtu-luottamusverkostoon 7.12.2011 Palveluiden läpikäynti

Tietoturvallisuuden hallinnan lähtökohdat Sisäiset velvoitteet Valtiokonttorin/VIPin tietoturvapolitiikka ISO27001 –standardiin pohjautuva tietoturvallisuuden hallintajärjestelmä Ulkoiset velvoitteet Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 1.7.2010/681 VAHTI 02/2010 - Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta Julkisuuslakiin 621/1999 liittyvät määräykset Henkilötietolaki 22.4.1999/523 7.12.2011 Palveluiden läpikäynti

Miten tietoaineistot vaikuttavat tietoturvatason valintaan salassa pidettävät tiedot ST I Erittäin salainen ST II Salainen ST III Luottamuksellinen ST IV Käyttö rajoitettu PERUSTASO ERITYISTASO KORKEA TASO KOROTETTU TASO TURVATTAVAT KOHTEET

Miten tietoturvallisuus toteutetaan? Uusissa palveluissa osana hankkeen elinkaarenhallintaa, keskeisessä roolissa kilpailutuksessa edellytettävät tietoturvallisuutta koskevat vaatimusmääritykset VIP Tietoturvallisuus 1.0 hankkeissa -toimintamalli Jatkuvien palveluiden osalta edellytetään tietoturvatasojen ja muiden keskeisten palvelun tuottamiseen liittyvien toimintamallien saavuttamista VIP Tietoturvallisuus 1.0 jatkuvissa palveluissa - toimintamalli 7.12.2011 Palveluiden läpikäynti

Miten tietoturvallisuus toteutetaan? Hankevaihe Tietoturvallisuus hankkeen suunnittelussa, kilpailutuksessa ja tuotantoon hyväksymisessä Tuotantovaihe – jatkuva palvelu Tietoturvallisuuden vuosikello 7.12.2011 Palveluiden läpikäynti

Suunnittelun ja kilpailutuksen tietoturva-vaatimukset VAHTI 03/2011 – Valtion ICT-hankintojen tietoturvaohje 7.12.2011 Palveluiden läpikäynti

Tietoturvavaatimusten osa-alueet Perustaso Korotettu taso Korkea taso Tietoturvatasovaatimukset (TTA 681/2010, VAHTI 2/2010) ST IV / III / II –tasojen tietoaineiston käsittelykyky ICT-varautumisen vaatimukset - VM-hanke, jolla vaatimukset viimeistellään ja virallistetaan, tässä käytetty luonnosversion vaatimuksia 7.12.2011 Palveluiden läpikäynti

Vaatimusalueet Tekniset vaatimukset Sovelluskehityksen vaatimukset Palvelun tuottamiseen käytettävän palvelin- ja tietoliikenneympäristön, sekä käyttöpalvelutoimittajaa koskevat yleiset tietoturvavaatimukset Perustuvat yleisiin best practice –malleihin Sovelluskehityksen vaatimukset Vaatimukset palvelussa tai palvelulle tuotettavalle sovelluskoodille ja sovelluskehitysprosessille Lähtökohtana ensivaiheessa SANS/CWE Top25 ja OWASP Top Ten 7.12.2011 Palveluiden läpikäynti

Vaatimusalueet Hankittavan kohteen erityisvaatimukset Esim. riskianalyysin pohjalta tuotettavat, juuri tätä hankintaa koskevat tietoturvavaatimukset Jatkuvassa palvelussa edellytettävät asiat Ennen hankkeen hyväksyntää edellytettävät jatkuvan palvelun tietoturvaprosesseihin liittyvät vaatimukset Perustuvat VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 –toimintamallin mukaiseen tietoturvallisuuden vuosikelloon 7.12.2011 Palveluiden läpikäynti

Jatkuvilta palveluilta edellytettävät tietoturva-asiat Kun palvelu on toiminnassa ns. jatkuvana palveluna, siltä tulee edellyttää tiettyjä vaatimuksia. Palvelun tulee täyttää tietoturvatasojen mukaiset perustason vaatimukset palvelun käyttöönoton yhteydessä ja korotetun ja korkean tason osalta erikseen sovittavan aikataulun mukaisesti. Valtion IT-palvelukeskus on sitoutunut täyttämään korotetun tietoturvatason vaatimukset kaikissa keskeisissä palveluissa vuoden 2013 loppuun mennessä 7.12.2011 Palveluiden läpikäynti

Hyväksymiskriteeristö jatkuviin palveluihin siirtoon Projekti- tai hankepäällikkö vastaa jatkuviin palveluihin siirrosta osana hyväksymistestausta Palvelun auditointi hyväksymistestauksen yhteydessä Auditointiin sisältyy minimissään määriteltyjen tietoturvatasojen ja ICT-varautumisen vaatimusten, sekä vaatimus-excelin välilehdellä 6 määritellyt ennen palvelun käyttöönottoa vaadittavien kohtien tarkastus Kaikki tekniset vakavat havainnot ja poikkeamat tulee olla korjattu ennen käyttöönottoa tai siirtoa jatkuviin palveluihin Muista merkittävistä havainnoista tulee olla aikataulutettu korjaussuunnitelma Asetetut vaatimukset lisätään palvelun turvallisuussopimuksen liitteeksi 7.12.2011 Palveluiden läpikäynti

VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli Järjestelmän ja ympäristön perustiedot ja kuvaukset Turvallisuuskuvaus, järjestelmäkuvaus, rekisteriselosteet ICT-riskien arviointiprosessi Arvioidaan vuosittain, kehitys- ja korjaustoimenpiteiden etenemisen seuranta 2-4 kertaa vuodessa Toipumissuunnitelma(t) Palvelu- tai järjestelmäkohtainen yksityiskohtainen suunnitelma teknisistä häiriöistä toipumiseen Häiriöviestinnällä keskeinen rooli 7.12.2011 Palveluiden läpikäynti

VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli 5. Palvelun auditointisuunnitelma sekä suoritettavat säännönmukaiset auditoinnit Säännölliset tietoturva-auditoinnit palvelun kriittisyyden ja siinä käsiteltävien tietojen vaatimusten mukaan Valtiokonttori osallistuu VM:n rahoittamaan haavoittuvuusskannauspalvelu-hankkeeseen ja kaikki keskeiset palvelut liitetään tähän palveluun 6. Sopimusten katselmointi tietoturvallisuuden osalta Vuositasolla katselmoidaan sopimusten toteutuminen 7. Tietoturvallisuuden liittäminen toimittajayhteistyöhön Säännöllisissä toimittajatapaamisessa tietoturva-asiat ovat asialistalla (poikkeamat, raportit, kehitys) 7.12.2011 Palveluiden läpikäynti

VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli 8. Tietoturvapoikkeamien hallinta ja raportointi Häiriötilanteiden hallinta, eli vastuut, yhteyskanavat ja eskalointi tietoturvapoikkeamien tai niiden epäilyjen ilmetessä 9. Tietoturvallisuuden vastuunjakotaulukko Kuvaus tietoturvallisuuden vastuista sidosryhmittäin ja rooleittain Suosituksena RACI-malli 10. Palvelun tietoturvallisuuden vuosikello Miten edellä kuvatut toimenpiteet sidotaan organisoituun ja säännölliseen toimintamalliin 7.12.2011 Palveluiden läpikäynti

Tietoturvallisuuden vuosikello - esimerkki 7.12.2011 Palveluiden läpikäynti

Liittyminen Virtu-luottamusverkostoon Palvelun omistaja (VIP) asettaa palveluun liittymisen edellytykset tietoturvallisuuden osalta. Virtu IdP -palvelun osalta asiakkaan IdP- palveluympäristöltä edellytetään tietoturvatasojen korotettua tasoa. Palveluun liittyvä organisaatio tilaa auditoinnin VIP:iltä. Auditointiin sisältyy organisaation arviointi sekä IT-arviointi. Jos poikkeamia löytyy, tehdään toimenpidesuunnitelma poikkeamien korjaamiseksi. Virtun kannalta on tärkeätä, että organisaatiolla ei ole kriittisiä poikkeamia, jotka vaarantaisivat sekä liittyvän organisaation, Virtu-palvelun sekä mahdollisesti myös muiden palvelua käyttävien asiakkaiden tietoturvallisuuden. Kun kriittiset poikkeamat on korjattu ja muiden merkittävien poikkeamien osalta on luotu aikataulutettu toimenpide- suunnitelma, voi organisaatio liittyä palveluun.

Kysymyksiä? VIP Tietoturvapalvelut Asiantuntija- ja konsultointipalvelut Tietoturvapäällikköpalvelu Koulutuspalvelut Auditointi- ja tarkastuspalvelut vip.tietoturva@valtiokonttori.fi VIP Tietoturvallisuuden Työkalupakki http://www.valtiokonttori.fi/Public/Default.aspx?nodeid=21701 Kysy tietoturvallisuudesta http://valtiokonttori.fi/Public/default.aspx?nodeid=24747 7.12.2011 Palveluiden läpikäynti