Valtiokonttori, Valtion IT-palvelukeskuksen asiakaspäivä 16.10.2013: Tietoturvallisuuden perustasolta kohti korotettua tasoa - johtava asiantuntija Erja Kinnunen, Valtiokonttori, Valtion IT-palvelukeskus
2. (arkkitehtuurit ja menetelmät)
Yhteentoimivuus
2011
ValtIT- toimintasuunnitelma
Kuka muistaa vielä tämän?
2010
2009
yhteiset perustietotekniikkapalvelut
järjestelmäkehitysmenetelmä
perustietovarantoja
käytetään laajasti
talousohjaus
virkamiehen
tunnistaminen ja
käyttöoikeuksien
hallinta
hankehallinnan
menetelmät
2008
työasemapalvelu
talous- ja
henkilöstöhallinto
dokumentinhallinta ja
sähköposti, kalenteri
arkisto
käyttöpalvelut
rajapinnat
perustietovarantoihin
asiakaskeskeiset palvelut
neuvontapalvelut
yhteinen, turvallinen
tietoliikenneverkko
2007
sähköisten
palvelujen
alusta
yhteiset
arkkitehtuurit
VYSE
työasemakilpailutus
2006
Organisaatiot ja
tietojärjestelmät
täyttävät määritellyt
tietoturvatasot
tunnistaminen
yritykset
Varautuminen
riskianalyysit
hankesalkku
tietoliikennekilpailutus
tunnistaminen
kansalaiset
tietoturvan kehittämisohjelma
2006
auditointimenettelyt
Tietoturvatasot
2007
poikkeamaraportointi
2008
2009
2010
2011
2012
3. Mistä kaikki alkoi?
-
Tietoturvatasot-hanke VMn ValtIT-yksikössä 2007-2008
- Vaatimukset ja ohje olivat lausunnoilla marraskuussa 2008
-
Tietoturvallisuusasetus 681/2010
- Astui voimaan 1.10.2013
- 5 § Tietoturvallisuuden perustason toteuttaminen
- 23§ Siirtymäsäännökset
Viranomaisen tietojenkäsittely on saatettava vastaamaan
asetuksen 5 §:ssä säädettyjä perustason
tietoturvallisuusvaatimuksia kolmen vuoden kuluessa
asetuksen voimaantulosta.
-
Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen
täytäntöönpanosta, VAHTI 2/2010
VIP-asiakaspäivä, Erja Kinnunen
16.10.2013
4. Mitä muuta on tehty tietoturva-asetuksen
ja tasojen tueksi?
Uudet VAHTI-ohjeet ovat huomioineet tietojen luokituksen ja tasot
-
Sisäverkko-ohje, VAHTI 3/2010
ICT-varautumisen vaatimukset, VAHTI 2/2012
Valtion ICT-hankintojen tietoturvaohje, VAHTI 3/2011
Teknisen ICT-ympäristön tietoturva-ohje, VAHTI 3/2012
Sovelluskehityksen tietoturvaohje, VAHTI 1/2013
Toimitilojen tietoturvaohje, VAHTI 2/2013
Lausunnoilla oleva Päätelaitteiden tietoturvaohjeluonnos
VIP-asiakaspäivä, Erja Kinnunen
16.10.2013
5. Missä nyt mennään?
-
-
VM:n perustettiin tietoturvatasojen yhteishankkeet tukemaan tasojen
toteuttamista
Toteuttajana Valtion IT-palvelukeskus
Pilottina THK-hanke kuudelle Valtion IT-palvelukeskuksen
ministeriöasiakkaalle
Hankkeiden aikataulut ja osallistujamäärät
1. Hanke päättynyt 12/2012, lopussa 14 organisaatiota
2. Hanke päättynyt 01/2013, lopussa 18 organisaatiota
3. Hanke päättyy 05/2013, lopussa 17 organisaatiota
4. Hanke päättyy 12/2013, osallistuu 13 organisaatiota
VIP-asiakaspäivä, Erja Kinnunen
16.10.2013
6. Missä nyt mennään?
-
-
Perustason siirtymäaika päättyi 30.9.2013
Auditointeja on tehty aktiivisesti
- Valtion IT-palvelukeskus edellyttää palveluihinsa liittyviltä
asiakkailta
- Yhteishankkeisiin osallistuvilta organisaatioilta edellytetään
auditointia
Auditoituja organisaatioita noin 100
Perustason auditoidusti saavuttaneita 23
Valtion IT-palvelukeskuksen auditointi koskee organisaation
hallinnollista tietoturvallisuutta ja perusinfraa
Kaikki valtionhallinnon N * 1000 tietojärjestelmää pitäisi myös saada
perustasolle
VIP-asiakaspäivä, Erja Kinnunen
16.10.2013
7. Kohti korotettua tasoa
-
Siirtymäaika 5 vuotta luokituspäätöksestä
Luokituspäätöksiä tehty useimmissa ministeriöissä, joillain
hallinnonaloilla myös virastot olleet aktiivisia
Tuleeko korotetusta tasosta de facto 2015?
Mitä tarvitaan lisää korotetulle tasolle?
- Enemmän dokumentaatiota
- Enemmän politiikkoja
- Dokumenttien päivitystä
- Enemmän säännöllisyyttä
- Enemmän koulutusta
- Harjoittelua ja testausta
VIP-asiakaspäivä, Erja Kinnunen
16.10.2013
8. Kohti korotettua tasoa
-
Korotetun tason yhteishankkeet
- Hankkeen suunnittelu tehdään 2013
- Valtion IT-palvelukeskus tekee hankesuunnitelman VM:lle, joka
asettaa hankkeen
- Hanke keskittyy parhaiden käytäntöjen jakamiseen ja
tietojärjestelmien saattamiseen korotetulle tasolle
- Pyritään käynnistämään 2 saman sisältöistä hanketta
- Ennen kaikkea virastoille, joilla on yhteiskunnallisesti tärkeitä
tehtäviä
VIP-asiakaspäivä, Erja Kinnunen
16.10.2013
9. Jatkossa
-
Tietoturvallisuus on jatkuvaa työtä
Se on integroitava organisaation varsinaiseen toimintaan ja
johtamiseen
Organisaatio tarvitsee tietoturvallisuuden hallintajärjestelmän
Tarkoittaa toimintaa vuosikello mukaan
Valtion IT-palvelukeskuksen / TORI:n palvelut toteuttamisessa apuna
VAHTIlta tulossa
- TTT vs. Katakri-kriteeristöjen vertailuväline
- Tietoturvatasovaatimukset integroidaan tiukemmin Katakriin
- Arviointihanke käynnistynyt; kuvaa auditointimenettelyitä,
toimijoita yms.
VIP-asiakaspäivä, Erja Kinnunen
16.10.2013
10. Kiitos!
Kysymyksiä?
Johtava asiantuntija Erja Kinnunen
Valtiokonttori, Valtion IT-palvelukeskus
etunimi.sukunimi(at)valtiokonttori.fi
tietoturva.vip(at)valtiokonttori.fi
www.valtiokonttori.fi/ttt
VIP-asiakaspäivä, Erja Kinnunen
16.10.2013