kimmo rousku: laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta

Download Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta

Post on 26-May-2015

97 views

Category:

Government & Nonprofit

0 download

Embed Size (px)

DESCRIPTION

Valtiokonttori Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta Apulaisjohtaja Kimmo Rousku, Valtion tieto- ja viestintätekniikkakeskus Valtori Valtio Expo 20.5.2014

TRANSCRIPT

  • 1. Laadun kaava: riskienhallinta + tietoturvallisuus + varautuminen + seuranta Kimmo Rousku Apulaisjohtaja

2. Esityksessni Hallitseeko organisaatio riskej vai meneek ty tulipalojen sammutteluun? Riskit psevt laukeamaan Miksi tietoturvallisuus koetaan niin hankalaksi? Todennkisesti tietoja yliluokitellaan ja tmn takia on toteutettu liian tiukat suojakontrollit Miksi erilaiset ict-toiminnan hirit aiheuttavat meille niin paljon ongelmia? Tiedetnk, mik on organisaation toiminnassa oikeasti kriittist? Mist organisaatiosi tiet, miss niss osa-alueissa mennn ja mik on tilanne? Raportointi ja erilaiset auditoinnit => Uudenlainen laadun kaava 20.5.2014Valtori Kimo Rousku 3. Lhttilanne Riskit ja mys mahdollisuudet Tiedon turvaaminen Jatkuvuuden takaaminen Snnllinen seuranta Laatu 20.5.2014Valtori Kimo Rousku 4. Riskienhallinta Kuinka moni aamulla kotoa lhtiessn jtti ulko-oven sulkematta, kahvinkeittimen plle ja vesihanan juoksemaan? Jotta organisaatio pystyy saavuttamaan sille asetetut tavoitteet sek suojautumaan jrkevsti eli tarkoituksenmukaisesti sen toimintaa uhkaavia erilaisia riskej vastaan esimerkiksi Strategiset riskit, taloudelliset riskit, operatiiviset riskit, vahinkoriskit sen on pitnyt tunnistaa ja arvioida, ptt riskienhallintakeinot ja mahdollinen varautuminen vahinkoihin sek huolehtia prosessin jatkuvasta seurannasta. 20.5.2014Valtori Kimo Rousku 5. Riskienhallinta Riskienhallintapolitiikka Riskienhallinnan tavoitteet Riskien tunnistaminen ja arviointi Riskien ksittely Toimenpiteist pttminen ja niden toimenpiteiden toteuttaminen Toteutumisen seuranta Jatkuvaparantaminen Viestint,seuranajavalvonta 20.5.2014Valtori Kimo Rousku 6. Strateginen taso Taktinen taso Operatiivinen taso Organisaation eri tasoilla toteutetaan riskienhallintaa eri nkkulmista. Esimerkiksi tietoturvallisuuden osalta riskienhallinta pit vied osaksi mys palveluiden tietoturvallisuuden vuosikelloa 20.5.2014Valtori Kimo Rousku 7. Riskienhallinta Riskienhallintakokonaisuudessa trkeint ei ole alkuvaiheessa keskittyminen itse menetelmn tai kytettvn tyvlineeseen vaan se, ett prosessi saadaan organisaatiossa toimintaan. Riskien tunnistamisen ohella prosessi tarjoaa mahdollisuuden organisaatiolle tunnistaa sen toimintaa, suorituskyky kehittvi ja parantavia mahdollisuuksia riskien- ja mahdollisuuksienhallinta Pienennetn tavoitteiden saavuttamista ja toimintaa uhkaavia riskej sek samalla etsitn mahdollisuuksia parantaa organisaation suorituskyky ja toimintaa 20.5.2014Valtori Kimo Rousku 8. Riskienhallinta Miten? organisaation johto hyvksyy riskienhallintapolitiikan / linjauksen, joka toteutetaan ja jalkautetaan lpi koko organisaation 20.5.2014Valtori Kimo Rousku 9. Tiedon turvaaminen Vlill tuntuu silt, ett keskitymme liikaa tietoturvallisuudessa sen yhden osa-alueen, luottamuksellisuuden, takaamiseen Luottamuk- sellisuus Eheys Saatavuus Eheys Saatavuus Eheys Saatavuus Nm kolme tietoturvallisuuden osa-aluetta voivat olla tasa- painossa, tosin hyvin harvoin Julkisen tiedon osalta eheys ja saatavuus voivat olla trkess roolissa Etenkin erilaisten kriittisten viestint- ja tiedotuspalveluiden osalta 24/7/365 saatavuus saattaa olla trkein vaatimus 20.5.2014Valtori Kimo Rousku Muista! Tiedon turvaaminen, ei holvaaminen tai halvaannutta- minen 10. Tiedon turvaaminen Tietoturvallisuusasetuksen ja tietoturvatasojen mukaisesti jokaisen organisaation pit luokitella suojattavat kohteet perus | korotettu | korkea taso. Luokittelussa pit huomioida tiedon luottamuksellisuuden ohella tiedon eheyteen ja saatavuuteen liittyvt vaatimukset. Kuten riskienhallinnassa, ilman luokittelua organisaatio ei pysty kohdistamaan oikeanlaisia toimintatapoja suojattavaan kohteeseen Jos kohteeseen liittyv tietoa yliluokitellaan, kohdistettavat suojausmenetelmt (kontrollit) maksavat liikaa Jos tietoa aliluokitellaan, vaarannetaan tietojen luottamuksellisuus (vaarana tietovuoto), eheys (tietoja saatetaan pst muuttamaan hallitsemattomasti) tai saatavuus (kriittinen palvelu ei ole kytettviss silloin kun on tarve) 20.5.2014Valtori Kimo Rousku 11. Tiedon turvaaminen Miten? tietoturvallisuusasetuksen mukaisesti suojattavat kohteet luokitellaan sek tytetn tietoturvallisuusasetuksen mukaiset vaatimukset 20.5.2014Valtori Kimo Rousku 12. Jatkuvuuden takaaminen ICT:n kuten kaikki elektroniikan tai ihmisen toiminnan varassa tapahtuva on hirialtista. Kuten emme voi koskaan toteuttaa 100% tietoturvallisesti toimivaa palvelua, sama koskeen palveluiden kytettvyytt. Voimme pyrki 99 + mahdollisimman moneen ysiin, mutta jokainen ysi maksaa lis rahaa Jatkuvuuden takaamisen tarkoituksena on huolehtia tarkoituksenmukaisesta palvelun saatavuudesta (tietoturvankkulma) ja kytettvyydest (SLA). Jos palvelu ei ole organisaatiolle trke tai kriittinen, hirin kesto voi olla pitempi mutta toiminnon kriittisyyden kasvaessa mys keston eli korjaamiseen kuluvan ajan pit lyhenty. Hiritiedote Palvelussa XYZ on havaittu hiri, jonka takia ei ole toiminnassa. Ilmoitamme listietoja kahden tunnin kuluttua, mikli hirit ei saada ennen sit korjattua. 20.5.2014Valtori Kimo Rousku 13. Jatkuvuuden takaaminen Hiritilanne tilanne korjaantuu pikku hiljaa, kun sit aletaan korjaamaan palvelutasosopimuksen mukaisesti. Ents jos ei ole palvelutasosopimusta? Hiritilanne koska kyseess on kriittinen palvelu, saadaan a) hiri havaittua nopeasti sek palvelutasovaatimusten mukaisesti b) sen korjaaminen lhtee liikkeelle nopeasti ja hiri saadaan korjattua ilman merkittv vaikutusta toimintaan 20.5.2014Valtori Kimo Rousku 14. Jatkuvuuden takaaminen Miten? organisaatio on luokitellut kohteet (toiminto | prosessi | ICT-jrjestelm) kriittisyyden mukaan ja edellyttnyt sen tuottamisessa tarvittavia varautumiseen liittyv vaatimuksia sek kytss on kriittisyyden mukainen palvelutaso. Nm molemmat koskevat sek itse tuotettuja tai ulkoistettuja palveluita. 20.5.2014Valtori Kimo Rousku 15. Snnllinen seuranta Kaikki edell oleva edellytt seurantaa, joka koostuu esimerkiksi snnllisest raportoinnista ja vaatimustenmukaisuuden tyttymisen arvioinnista eli auditoinneista. Muutama esimerkki: Riskienhallinta Mist tiet ett tm ei toimi? Samat riskit pysyvt korkeina jopa vuodesta toiseen tehtyj toimenpiteiden mukaisia ptksi pit valvoa ja seurata, ett ne toteutetaan, jolloin niiden riskiarvon tulisi pienenty ja uusia nousta tilalle Tiedon turvaaminen Onko organisaation toiminnot | prosessit | tietojrjestelmt luokiteltu sek tietoturvallisuuden ett jatkuvuuden osalta perus | korotettu | korkea sek tmn ja asiakastarpeen perusteella luotu kohteen kriittisyydest luokitus? Kun kriittisyys tiedetn, voidaan mys kohteeseen liittyvt sek toimittaja ett asiakasraportointi suhteuttaa kohteen trkeyden mukaisesti 20.5.2014Valtori Kimo Rousku 16. Snnllinen seuranta Jatkuvuuden takaaminen Palvelutasoa on seurattava! Kun jotain on tapahtunut (hiri tai ongelma) ja siit saadaan raportti niin samalla pit selvitt keinot, mill saman hirin toistuminen voidaan vltt Auditoinnit => vaatimustenmukaisuuden todentaminen Mit kriittisemmst kohteesta on kyse, sit trkemp on arvioida kohteen vaatimustenmukaisuus itse- tai ulkopuoliselta taholta hankittavana arviointina. Auditoinnin tilaaja mritt, mitk ovat ne vaatimukset, joita toteutumista arvioinnissa tullaan tarkastelemaan. Valtaosan edell kuvatuista toiminnoista voidaan toteuttaa tietoturvallisuuden ja jatkuvuuden hallinnan osalta tyttmll valtionhallinnon tietoturvatasojen (VAHTI 2/2010) ja ICT-varautumiseen (VAHTI 2/2012) vaatimukset toteuttamalla. 20.5.2014Valtori Kimo Rousku 17. Laadun kaava - kertaus Seuranta ja raportointi Riskienhallinta Tiedon turvaaminen Jatkuvuuden takaaminen Saavutetaan tavoitteet ja hallitaan toimintaa uhkaavia kriittisi riskej Salassa pidettvt tiedot eivt vuoda, tiedot silyvt ehein ja ovat saatavilla niit tarvitseville henkilille Hiri saadaan hallintaan sovitun mukaisesti ilman ett se uhkaa toimintaa Vuosikello, auditoinnit, raportointi 20.5.2014Valtori Kimo Rousku Toteutetaan samalla tieto- ja yksityisyydensuojaa ! 18. Valtorin tietoturvallisuuden asiantuntijapalvelut Tarvitsetko apua riskienhallintaan, tietoturvallisuuden tai jatkuvuuden hallinnan kehittmiseen tai onko organisaatiollasi tarvetta tehd ulkopuolisen tahon tekem auditointi? Kytssmme on omien asiantuntijoiden ohella >100 alihankkijamme turvallisuusselvitetty, vaitiolositoumuksen allekirjoittanutta konsulttia Ota yhteys Valtorin asiakasvastaaviin tai ttpalvelut@valtori.fi saadaksesi listietoa! 20.5.2014Valtori Kimo Rousku 19. Kiitos! TULOSSA: Valtorin asiakaspiv 31.10.2014 Helsingiss Merkitse piv jo kalenteriisi! Tervetuloa! Apulaisjohtaja Kimmo Rousku Valtion tieto- ja viestinttekniikkakeskus Valtori kimmo.rousku@valtori.fi 20.5.2014Valtori Kimo Rousku

Recommended

View more >