Tietoturvallisuuden hallinta VIP:issä Virtu-luottamusverkosto

1. Tietoturvallisuuden hallinta VIP:issäVirtu-luottamusverkosto Tommi Simula Tietoturva-asiantuntija (CISSP, GSEC, MCSE) Tietoturvapalvelut Valtion IT-palvelukeskus 12.1.2012

2. Agenda • Tietoturvallisuuden hallinnan lähtökohdat VIP:in palveluissa • VIP Tietoturvallisuus 1.0 Hankkeissa • VIP Tietoturvallisuus 1.0 Jatkuvissa Palveluissa • Liittyminen Virtu-luottamusverkostoon 7.12.2011 Palveluiden läpikäynti

3. Tietoturvallisuuden hallinnan lähtökohdat • Sisäiset velvoitteet • Valtiokonttorin/VIPin tietoturvapolitiikka • ISO27001 –standardiin pohjautuva tietoturvallisuuden hallintajärjestelmä • Ulkoiset velvoitteet • Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 1.7.2010/681 • VAHTI 02/2010 - Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta • Julkisuuslakiin 621/1999 liittyvät määräykset • Henkilötietolaki 22.4.1999/523 7.12.2011 Palveluiden läpikäynti

4. TURVATTAVAT KOHTEET TURVATTAVAT KOHTEET TURVATTAVAT KOHTEET Miten tietoaineistot vaikuttavat tietoturvatason valintaan salassa pidettävät tiedot ERITYISTASO KORKEA TASO KOROTETTU TASO TURVATTAVAT KOHTEET PERUSTASO

5. Miten tietoturvallisuus toteutetaan? • Uusissa palveluissa osana hankkeen elinkaarenhallintaa, keskeisessä roolissa kilpailutuksessa edellytettävät tietoturvallisuutta koskevat vaatimusmääritykset • VIP Tietoturvallisuus 1.0 hankkeissa -toimintamalli • Jatkuvien palveluiden osalta edellytetään tietoturvatasojen ja muiden keskeisten palvelun tuottamiseen liittyvien toimintamallien saavuttamista • VIP Tietoturvallisuus 1.0 jatkuvissa palveluissa -toimintamalli 7.12.2011 Palveluiden läpikäynti

6. Miten tietoturvallisuus toteutetaan? 7.12.2011 Palveluiden läpikäynti

7. Suunnittelun ja kilpailutuksen tietoturva-vaatimukset 7.12.2011 Palveluiden läpikäynti

8. Tietoturvavaatimusten osa-alueet • Tietoturvatasovaatimukset (TTA 681/2010, VAHTI 2/2010) • ST IV / III / II –tasojen tietoaineiston käsittelykyky • ICT-varautumisen vaatimukset - VM-hanke, jolla vaatimukset viimeistellään ja virallistetaan, tässä käytetty luonnosversion vaatimuksia 7.12.2011 Palveluiden läpikäynti

9. Vaatimusalueet • Tekniset vaatimukset • Palvelun tuottamiseen käytettävän palvelin- ja tietoliikenneympäristön, sekä käyttöpalvelutoimittajaa koskevat yleiset tietoturvavaatimukset • Perustuvat yleisiin bestpractice –malleihin • Sovelluskehityksen vaatimukset • Vaatimukset palvelussa tai palvelulle tuotettavalle sovelluskoodille ja sovelluskehitysprosessille • Lähtökohtana ensivaiheessa SANS/CWE Top25 ja OWASP Top Ten 7.12.2011 Palveluiden läpikäynti

10. Vaatimusalueet • Hankittavan kohteen erityisvaatimukset • Esim. riskianalyysin pohjalta tuotettavat, juuri tätä hankintaa koskevat tietoturvavaatimukset • Jatkuvassa palvelussa edellytettävät asiat • Ennen hankkeen hyväksyntää edellytettävät jatkuvan palvelun tietoturvaprosesseihin liittyvät vaatimukset • Perustuvat VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 –toimintamallin mukaiseen tietoturvallisuuden vuosikelloon 7.12.2011 Palveluiden läpikäynti

11. Jatkuvilta palveluilta edellytettävät tietoturva-asiat • Kun palvelu on toiminnassa ns. jatkuvana palveluna, siltä tulee edellyttää tiettyjä vaatimuksia. • Palvelun tulee täyttää tietoturvatasojen mukaiset perustason vaatimukset palvelun käyttöönoton yhteydessä ja korotetun ja korkean tason osalta erikseen sovittavan aikataulun mukaisesti. • Valtion IT-palvelukeskus on sitoutunut täyttämään korotetun tietoturvatason vaatimukset kaikissa keskeisissä palveluissa vuoden 2013 loppuun mennessä 7.12.2011 Palveluiden läpikäynti

12. Hyväksymiskriteeristö jatkuviin palveluihin siirtoon • Projekti- tai hankepäällikkö vastaa jatkuviin palveluihin siirrosta osana hyväksymistestausta • Palvelun auditointi hyväksymistestauksen yhteydessä • Auditointiin sisältyy minimissään määriteltyjen tietoturvatasojen ja ICT-varautumisen vaatimusten, sekä vaatimus-excelin välilehdellä 6 määritellyt ennen palvelun käyttöönottoa vaadittavien kohtien tarkastus • Kaikki tekniset vakavat havainnot ja poikkeamat tulee olla korjattu ennen käyttöönottoa tai siirtoa jatkuviin palveluihin • Muista merkittävistä havainnoista tulee olla aikataulutettu korjaussuunnitelma • Asetetut vaatimukset lisätään palvelun turvallisuussopimuksen liitteeksi 7.12.2011 Palveluiden läpikäynti

13. VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli • Järjestelmän ja ympäristön perustiedot ja kuvaukset • Turvallisuuskuvaus, järjestelmäkuvaus, rekisteriselosteet • ICT-riskien arviointiprosessi • Arvioidaan vuosittain, kehitys- ja korjaustoimenpiteiden etenemisen seuranta 2-4 kertaa vuodessa • Toipumissuunnitelma(t) • Palvelu- tai järjestelmäkohtainen yksityiskohtainen suunnitelma teknisistä häiriöistä toipumiseen • Häiriöviestinnällä keskeinen rooli 7.12.2011 Palveluiden läpikäynti

14. VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli 5. Palvelun auditointisuunnitelma sekä suoritettavat säännönmukaiset auditoinnit • Säännölliset tietoturva-auditoinnit palvelun kriittisyyden ja siinä käsiteltävien tietojen vaatimusten mukaan • Valtiokonttori osallistuu VM:n rahoittamaan haavoittuvuusskannauspalvelu-hankkeeseen ja kaikki keskeiset palvelut liitetään tähän palveluun 6. Sopimusten katselmointi tietoturvallisuuden osalta • Vuositasolla katselmoidaan sopimusten toteutuminen 7. Tietoturvallisuuden liittäminen toimittajayhteistyöhön • Säännöllisissä toimittajatapaamisessa tietoturva-asiat ovat asialistalla (poikkeamat, raportit, kehitys) 7.12.2011 Palveluiden läpikäynti

15. VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli 8. Tietoturvapoikkeamien hallinta ja raportointi • Häiriötilanteiden hallinta, eli vastuut, yhteyskanavat ja eskalointi tietoturvapoikkeamien tai niiden epäilyjen ilmetessä 9. Tietoturvallisuuden vastuunjakotaulukko • Kuvaus tietoturvallisuuden vastuista sidosryhmittäin ja rooleittain • Suosituksena RACI-malli 10. Palvelun tietoturvallisuuden vuosikello • Miten edellä kuvatut toimenpiteet sidotaan organisoituun ja säännölliseen toimintamalliin 7.12.2011 Palveluiden läpikäynti

16. Tietoturvallisuuden vuosikello - esimerkki 7.12.2011 Palveluiden läpikäynti

17. Liittyminen Virtu-luottamusverkostoon Palvelun omistaja (VIP) asettaa palveluun liittymisen edellytykset tietoturvallisuuden osalta. VirtuIdP -palvelun osalta asiakkaan IdP-palveluympäristöltä edellytetään tietoturvatasojen korotettua tasoa. Palveluun liittyvä organisaatio tilaa auditoinninVIP:iltä. Auditointiin sisältyy organisaation arviointi sekä IT-arviointi. Jospoikkeamia löytyy, tehdään toimenpidesuunnitelma poikkeamien korjaamiseksi. Virtun kannalta on tärkeätä, että organisaatiolla ei ole kriittisiä poikkeamia, jotka vaarantaisivat sekä liittyvän organisaation, Virtu-palvelunsekä mahdollisesti myös muiden palvelua käyttävien asiakkaiden tietoturvallisuuden. Kun kriittiset poikkeamat on korjattu ja muiden merkittävien poikkeamien osalta on luotu aikataulutettu toimenpide-suunnitelma, voi organisaatio liittyä palveluun.

18. Kysymyksiä? VIP Tietoturvapalvelut • Asiantuntija- ja konsultointipalvelut • Tietoturvapäällikköpalvelu • Koulutuspalvelut • Auditointi- ja tarkastuspalvelut vip.tietoturva@valtiokonttori.fi VIP Tietoturvallisuuden Työkalupakkihttp://www.valtiokonttori.fi/Public/Default.aspx?nodeid=21701 Kysy tietoturvallisuudestahttp://valtiokonttori.fi/Public/default.aspx?nodeid=24747 7.12.2011 Palveluiden läpikäynti