180 likes | 450 Views
Tietoturvallisuuden hallinta VIP:issä Virtu-luottamusverkosto. Tommi Simula Tietoturva-asiantuntija (CISSP, GSEC, MCSE) Tietoturvapalvelut Valtion IT- palvelukeskus. Agenda. Tietoturvallisuuden hallinnan lähtökohdat VIP:in palveluissa VIP Tietoturvallisuus 1.0 Hankkeissa
E N D
Tietoturvallisuuden hallinta VIP:issäVirtu-luottamusverkosto Tommi Simula Tietoturva-asiantuntija (CISSP, GSEC, MCSE) Tietoturvapalvelut Valtion IT-palvelukeskus 12.1.2012
Agenda • Tietoturvallisuuden hallinnan lähtökohdat VIP:in palveluissa • VIP Tietoturvallisuus 1.0 Hankkeissa • VIP Tietoturvallisuus 1.0 Jatkuvissa Palveluissa • Liittyminen Virtu-luottamusverkostoon 7.12.2011 Palveluiden läpikäynti
Tietoturvallisuuden hallinnan lähtökohdat • Sisäiset velvoitteet • Valtiokonttorin/VIPin tietoturvapolitiikka • ISO27001 –standardiin pohjautuva tietoturvallisuuden hallintajärjestelmä • Ulkoiset velvoitteet • Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa 1.7.2010/681 • VAHTI 02/2010 - Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta • Julkisuuslakiin 621/1999 liittyvät määräykset • Henkilötietolaki 22.4.1999/523 7.12.2011 Palveluiden läpikäynti
TURVATTAVAT KOHTEET TURVATTAVAT KOHTEET TURVATTAVAT KOHTEET Miten tietoaineistot vaikuttavat tietoturvatason valintaan salassa pidettävät tiedot ERITYISTASO KORKEA TASO KOROTETTU TASO TURVATTAVAT KOHTEET PERUSTASO
Miten tietoturvallisuus toteutetaan? • Uusissa palveluissa osana hankkeen elinkaarenhallintaa, keskeisessä roolissa kilpailutuksessa edellytettävät tietoturvallisuutta koskevat vaatimusmääritykset • VIP Tietoturvallisuus 1.0 hankkeissa -toimintamalli • Jatkuvien palveluiden osalta edellytetään tietoturvatasojen ja muiden keskeisten palvelun tuottamiseen liittyvien toimintamallien saavuttamista • VIP Tietoturvallisuus 1.0 jatkuvissa palveluissa -toimintamalli 7.12.2011 Palveluiden läpikäynti
Miten tietoturvallisuus toteutetaan? 7.12.2011 Palveluiden läpikäynti
Suunnittelun ja kilpailutuksen tietoturva-vaatimukset 7.12.2011 Palveluiden läpikäynti
Tietoturvavaatimusten osa-alueet • Tietoturvatasovaatimukset (TTA 681/2010, VAHTI 2/2010) • ST IV / III / II –tasojen tietoaineiston käsittelykyky • ICT-varautumisen vaatimukset - VM-hanke, jolla vaatimukset viimeistellään ja virallistetaan, tässä käytetty luonnosversion vaatimuksia 7.12.2011 Palveluiden läpikäynti
Vaatimusalueet • Tekniset vaatimukset • Palvelun tuottamiseen käytettävän palvelin- ja tietoliikenneympäristön, sekä käyttöpalvelutoimittajaa koskevat yleiset tietoturvavaatimukset • Perustuvat yleisiin bestpractice –malleihin • Sovelluskehityksen vaatimukset • Vaatimukset palvelussa tai palvelulle tuotettavalle sovelluskoodille ja sovelluskehitysprosessille • Lähtökohtana ensivaiheessa SANS/CWE Top25 ja OWASP Top Ten 7.12.2011 Palveluiden läpikäynti
Vaatimusalueet • Hankittavan kohteen erityisvaatimukset • Esim. riskianalyysin pohjalta tuotettavat, juuri tätä hankintaa koskevat tietoturvavaatimukset • Jatkuvassa palvelussa edellytettävät asiat • Ennen hankkeen hyväksyntää edellytettävät jatkuvan palvelun tietoturvaprosesseihin liittyvät vaatimukset • Perustuvat VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 –toimintamallin mukaiseen tietoturvallisuuden vuosikelloon 7.12.2011 Palveluiden läpikäynti
Jatkuvilta palveluilta edellytettävät tietoturva-asiat • Kun palvelu on toiminnassa ns. jatkuvana palveluna, siltä tulee edellyttää tiettyjä vaatimuksia. • Palvelun tulee täyttää tietoturvatasojen mukaiset perustason vaatimukset palvelun käyttöönoton yhteydessä ja korotetun ja korkean tason osalta erikseen sovittavan aikataulun mukaisesti. • Valtion IT-palvelukeskus on sitoutunut täyttämään korotetun tietoturvatason vaatimukset kaikissa keskeisissä palveluissa vuoden 2013 loppuun mennessä 7.12.2011 Palveluiden läpikäynti
Hyväksymiskriteeristö jatkuviin palveluihin siirtoon • Projekti- tai hankepäällikkö vastaa jatkuviin palveluihin siirrosta osana hyväksymistestausta • Palvelun auditointi hyväksymistestauksen yhteydessä • Auditointiin sisältyy minimissään määriteltyjen tietoturvatasojen ja ICT-varautumisen vaatimusten, sekä vaatimus-excelin välilehdellä 6 määritellyt ennen palvelun käyttöönottoa vaadittavien kohtien tarkastus • Kaikki tekniset vakavat havainnot ja poikkeamat tulee olla korjattu ennen käyttöönottoa tai siirtoa jatkuviin palveluihin • Muista merkittävistä havainnoista tulee olla aikataulutettu korjaussuunnitelma • Asetetut vaatimukset lisätään palvelun turvallisuussopimuksen liitteeksi 7.12.2011 Palveluiden läpikäynti
VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli • Järjestelmän ja ympäristön perustiedot ja kuvaukset • Turvallisuuskuvaus, järjestelmäkuvaus, rekisteriselosteet • ICT-riskien arviointiprosessi • Arvioidaan vuosittain, kehitys- ja korjaustoimenpiteiden etenemisen seuranta 2-4 kertaa vuodessa • Toipumissuunnitelma(t) • Palvelu- tai järjestelmäkohtainen yksityiskohtainen suunnitelma teknisistä häiriöistä toipumiseen • Häiriöviestinnällä keskeinen rooli 7.12.2011 Palveluiden läpikäynti
VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli 5. Palvelun auditointisuunnitelma sekä suoritettavat säännönmukaiset auditoinnit • Säännölliset tietoturva-auditoinnit palvelun kriittisyyden ja siinä käsiteltävien tietojen vaatimusten mukaan • Valtiokonttori osallistuu VM:n rahoittamaan haavoittuvuusskannauspalvelu-hankkeeseen ja kaikki keskeiset palvelut liitetään tähän palveluun 6. Sopimusten katselmointi tietoturvallisuuden osalta • Vuositasolla katselmoidaan sopimusten toteutuminen 7. Tietoturvallisuuden liittäminen toimittajayhteistyöhön • Säännöllisissä toimittajatapaamisessa tietoturva-asiat ovat asialistalla (poikkeamat, raportit, kehitys) 7.12.2011 Palveluiden läpikäynti
VIP Tietoturvallisuus Jatkuvissa Palveluissa 1.0 -toimintamalli 8. Tietoturvapoikkeamien hallinta ja raportointi • Häiriötilanteiden hallinta, eli vastuut, yhteyskanavat ja eskalointi tietoturvapoikkeamien tai niiden epäilyjen ilmetessä 9. Tietoturvallisuuden vastuunjakotaulukko • Kuvaus tietoturvallisuuden vastuista sidosryhmittäin ja rooleittain • Suosituksena RACI-malli 10. Palvelun tietoturvallisuuden vuosikello • Miten edellä kuvatut toimenpiteet sidotaan organisoituun ja säännölliseen toimintamalliin 7.12.2011 Palveluiden läpikäynti
Tietoturvallisuuden vuosikello - esimerkki 7.12.2011 Palveluiden läpikäynti
Liittyminen Virtu-luottamusverkostoon Palvelun omistaja (VIP) asettaa palveluun liittymisen edellytykset tietoturvallisuuden osalta. VirtuIdP -palvelun osalta asiakkaan IdP-palveluympäristöltä edellytetään tietoturvatasojen korotettua tasoa. Palveluun liittyvä organisaatio tilaa auditoinninVIP:iltä. Auditointiin sisältyy organisaation arviointi sekä IT-arviointi. Jospoikkeamia löytyy, tehdään toimenpidesuunnitelma poikkeamien korjaamiseksi. Virtun kannalta on tärkeätä, että organisaatiolla ei ole kriittisiä poikkeamia, jotka vaarantaisivat sekä liittyvän organisaation, Virtu-palvelunsekä mahdollisesti myös muiden palvelua käyttävien asiakkaiden tietoturvallisuuden. Kun kriittiset poikkeamat on korjattu ja muiden merkittävien poikkeamien osalta on luotu aikataulutettu toimenpide-suunnitelma, voi organisaatio liittyä palveluun.
Kysymyksiä? VIP Tietoturvapalvelut • Asiantuntija- ja konsultointipalvelut • Tietoturvapäällikköpalvelu • Koulutuspalvelut • Auditointi- ja tarkastuspalvelut vip.tietoturva@valtiokonttori.fi VIP Tietoturvallisuuden Työkalupakkihttp://www.valtiokonttori.fi/Public/Default.aspx?nodeid=21701 Kysy tietoturvallisuudestahttp://valtiokonttori.fi/Public/default.aspx?nodeid=24747 7.12.2011 Palveluiden läpikäynti