kalle lehtonen: yhteishankkeella tietoturvatasot kuntoon

Yhteishankkeella tietoturvatasot kuntoon ja enemmänkin!

Kalle Lehtonen / PRH

Patentti- ja rekisterihallitus organisaatiokaavio 1.1.2012

PRH | VIP Yhteishankkeella tietoturvatasot kuntoon

HISTORIA 1835 - 1942 1835 Suomen Senaatti: Manufaktuurijohtokunta 1885 Teollisuushallitus 1919 Kauppa- ja teollisuushallitus 1926 Kauppa- ja teollisuusministeriö 1942 Patentti- ja rekisterihallitus

www.prh.fi PRH | Yhteishankkeella tt-tasot kuntoon ja enemmänkin!

Suomalaisen patentin juhlavuosi! 170 vuotta suomalaisia patentteja

29.6.1842 ensimmäinen suomalainen patentti Rautainen puhallinkone, Mechanicus L.G. Ståhle 1.5.1889 ensimmäinen suomalainen tavaramerkki Pinjaisten tehdas Pohjan pitäjässä - tavaramerkit naula- ja kankirautaa sekä taoksia ja puutarhatyökaluja varten. 2.7.1896 ensimmäinen suomalainen kaupparekisteri-ilmoitus Liike Axel Pihlgren, omistaja Axel Adolf Pihlgren, toimialaan kuului mm. punssin, viinin, viinan ja siirtomaatavaroiden sekä lasi ja posliinitavaroiden myyminen.

PRH | Yhteishankkeella tt-tasot kuntoon ja enemmänkin!

PRH:n toiminta-ajatus ja tehtävät PRH edistää yrittäjyyttä, innovatiivisuutta ja yhteisöllistä toimintaa Suomessa ja kansainvälisesti. PRH luo yritysten, yhdistysten ja säätiöiden oikeudellisen perustan myöntää toiminimien, tavaramerkkien ja keksintöjen sekä muiden teollisoikeuksien suojan ylläpitää ja julkistaa kattavat yritys- ja yhteisötiedot yhteiskunnan käyttöön tarjoaa asiakaslähtöisiä asiointi-, tietoja asiantuntijapalveluja valvoo säätiöitä sekä yritysten ja yhteisöjen rekisteröintivelvoitteen noudattamista


PRH:n strategiset tavoitteet 2011 - 2020

Osana TEM-konsernia PRH edistää korkean arvonlisän uutta, kasvavaa ja vientiin suuntautuvaa yritystoimintaa PRH on kansainvälisesti ja kansallisesti arvostettu yritysten tunnusmerkkien sekä keksintöjen yksinoikeuksien myöntäjä PRH on julkishallinnon sähköisen asioinnin edelläkävijä, jonka palvelut ovat asiakaslähtöisesti, keskitetysti ja yhteen toimivasti yritysten ja yhteisöjen käytettävissä PRH:n ylläpitämät yritys- ja yhteisötiedot ovat koko yhteiskunnan tehokkaassa käytössä

Sisäiset tavoitteet: Asiakkaan ja henkilöstön eduksi yksi yhtenäinen PRH Toimintamme on kustannustehokasta, tuloksellista ja vaikuttavaa PRH:ssa on osaavin ja ystävällisin henkilökunta sekä esimerkillisin esimiestoiminta


Monipuoliset palvelumme Asiakkaittemme alueellinen tasa-arvoisuus ja palvelujemme saatavuus on parantunut merkittävästi sähköisten palvelujen myötä. Internetissä tietoa kaikista palveluistamme monipuolisesti: toimintaohjeet, lomakkeet, asiakirjat, hinnastot, lainsäädäntöä ja neuvontaa helposti ja nopeasti saatavilla. Sähköiset tietokannat: PRH tiedot hyödynnettävänä luotettavasti ja nopeasti yhteiskunnan eri sektoreille päätöksentekoon, innovointiin, tuotekehitykseen, tutkimukseen, kilpailijaseurantaan.

PRH:ssa n. 430 henkilöä palvelemassa asiakkaitamme.


PRH:n keskeiset yhteistyö- ja sidosryhmät VALTIONHALLINTO

TEM, muu keskushallinto ja valtion aluehallinto ASIAKKAAT

Elinkeinoelämä; yritykset ja yhteisöt, yrittäjät, innovaattorit, kansalaiset… ALUETOIMINTA, YHTEISTYÖKUMPPANIT

ELY-keskukset, maistraatit, uusyrityskeskukset ja kauppakamarit Ministeriöt, verohallitus, Keksintösäätiö, yliopistot ja korkeakoulut Neuvottelukunnat ja kontaktiryhmät

KANSAINVÄLINEN TOIMINTA

Euroopan unioni (EU) EU:n sisämarkkinoiden harmonisointivirasto (OHIM) European Patent Office (EPO) World Intellectual Property Organization (WIPO) World Trade organization (WTO) European Business Register (EBR) Pohjoismaat ja Baltian maat Bilateraalisia yhteistyösopimuksia eri valtioiden kanssa


Ei pelkästään tietoturva-asetuksen vuoksi! PRH:ssa tietoturva-asetus ja liittyminen VY-verkkoon sattuivat ajallisesti

yhteen. Myös pääjohtajan vaihdos ja organisaation muutos siten, että useamman linjan tietohallinnot yhdistyivät kolmen vuoden harjoittelu-ajan jälkeen, antoivat eväät kehittää tietoturvaa kokonaisvaltaisesti. Uuteen tietohallintoon perustettiin mm. tietoturva-asiantuntijan virka joka toimii organisaation tietoturvavastaavana.

VY-verkkoon ’pääsyvaatimuksena’ on vähintään VAHTI-perustaso, mikä todennetaan ulkopuolisen auditoijan toimesta.

• Tästä tietoturva-arvioinnista saa ’todistuksen’ siitä, ettei kriittisiä tietoturvapoikkeamia ole hallinnollisessa eikä teknisessä tietoturvassa.

• Valtion IT-palvelukeskus on kilpailuttanut arvioijat ja sille on määritelty kiinteä hinta. Organisaatio ei voi itse valita arvioijaa, vaan Valtion IT-palvelukeskus valitsee seuraavan ’vapaan’ auditoijan.

Perinteisesti PRH:ssa on noudatettu VAHTI-tietoturvaohjeistoja sekä Patentti- ja innovaatiolinjan johtaminen ja operatiivinen toiminta perustuvat standardin SFS-EN ISO 9001:2008 vaatimukset täyttävään toimintajärjestelmään.


Aloitus organisaation nykytilan kartoituksella ja tt-tason itsearvioinnilla

Yleisesti suositeltu tapa aloittaa tietoturva-asetuksen vaatima perustason saavuttaminen on perinteinen projekti, jotta kaikki organisaation erityistarpeetkin tulisi huomioitua ja dokumentoitua. PRH:ssa emme kuitenkaan lähteneet tätä projektina toteuttamaan, vaan virkatyönä, projektityyppisesti. • Uusi tietoturvaryhmä aloitti kokoontumisen ja paneutumisen tietoturvan eri

osa-alueisiin. • Erona projektille oli lähinnä ketteryys, johon pyrimme, koska resursseja ja

aikaa oli kuitenkin niukasti. (Aikaa oli 4 kuukautta.) Aloitimme nykytilan kartoituksella ja itsearvioinnilla haastattelu-tyyppisesti, johon kutsuttiin mukaan tietoturvatasojen eri osa-alueiden osaajia seuraavasti: Toiminnan suunnittelu ja johtajuus, johdon edustaja Tietohallintojohtaja Henkilöstön osalta haastateltiin useita henkilöstöhallinnon edustajia Kumppanuudet ja resurssit, viestinnästä, kumppanuuksista ja sopimuksista vastaavat henkilöt


Aloitus organisaation nykytilan kartoituksella ja tt-tason itsearvioinnilla

Toiminnan prosesseja selvitteli asiakirjahallinnosta vastaava henkilö Toiminnan arviointi ja todentaminen, mm. sisäinen tarkastaja alusti Käyttöpalveluista vastaava henkilö, Tietojärjestelmien hallinnan osalta Teknisen ja fyysisen tietojenkäsittely-ympäristön kuvaaminen yhteistyönä Itsearviointiin käytimme Valtion IT-palvelukeskuksen Tietoturvallisuuden työkalupakista löytyvää itsearviointimateriaalia. 15.6.2011 oli ensimmäinen Yhteishanke 1:n työpaja, kesto 18 kuukautta.


Tietoturvaryhmä on monessa mukana Tietoturvaryhmään valikoitui eri alojen asiantuntijoita (Hankinta- ja hallintoasioiden lakimies, viestintäpäällikkö, IT-päällikkö, HD-asiantuntija, SD-asiantuntija, turvallisuus-asiantuntija sekä vetäjänä tietoturvavastaava.

Uuden ryhmän tehtävänä oli heti kartoittaa toiminnan eri tietoturvariskit, työkaluna käytettiin VIPin materiaalipankista saatavaa riskityökalua ja uhkatyöpajamaisesti toteutettua häiriötilannemenettelyjen määrittämistä.

Avainriskien tunnistamisen jälkeen oli helpompi valita toimenpiteitä kriittisten tietojärjestelmien ja suojattavien kohteiden tunnistamiseen. Kirjoitettiin tietoturvasuunnitelma näiden pohjalta.


Tietoturvapolitiikka oli vanhentunut ja kaipasi perusteellista päivittämistä

Seuraava suuri askel otettiin tietoturvallisuuden nykytilanteen ja vaatimustenmukaisuuden arvioinnilla. Tietoturvapolitiikka oli ollut jo kolmatta vuotta sama ja totesimme sen vaativan täydellistä remonttia. Otimme pohjaksi Valtion IT-palvelukeskuksen materiaalipankissa jaossa olevan tietoturvapolitiikan ja VAHTI johtajan tietoturvaoppaan. Näiden pohjalta sovitimme PRH:lle sopivan tietoturvapolitiikan. Muutos oli suuri edelliseen politiikkaan verrattuna, koska tietoturva-asetuksen mukaiset roolit ja vastuutukset otettiin nyt mukaan. Pääjohtaja vahvisti uudistetun tietoturvapolitiikan, kevät 2012. Tietoturvapolitiikan jalkautus koko henkilöstölle neljässä eri tietoturvakoulutus tilaisuudessa.


Soveltamissuunnitelma

Paras työkalu, jolla nopeasti hahmottaa kokonaisuuden -> Status liikennevalovärein. Soveltamistavan ylläpito auttaa löytämään oikean dokumentin helposti. Työkalu löytyy Valtion IT-palvelukeskuksen tarjoamasta Tietoturvallisuuden työkalupakista.


Prosessien ja ohjeistusten päivittäminen Iso työ aloitettiin prosessikaavioiden kanssa. Joitakin prosessikavioita olikin jo valmiina, mutta nämäkin tuli päivittää. Ainoastaan voimassaolevaa päivitettyä prosessia voidaan kehittää järkevällä tavalla – On myös perusta kokonaisarkkitehtuurille Ohjeistuksetkin vanhenevat yllättävän nopeasti. Voimassaolevien ohjeistusten päivittäminen on mahtava urakka sinänsä, päivittäjän on tunnettava prosessit ja lait sekä toimintatavat, myös kohderyhmä. Varattiin yksi henkilö, joka päivitti prosesseja ja perehtyi niiden päivittämiseen, yksiköiden avustuksella. Ohjeistuksia ja dokumentteja päivitettiin a.o. yksiköissä Samalla tarkastettiin ja päivitettiin toipumis- ja jatkuvuussuunnitelmia (valmiussuunnitteluja oli tekemässä mm. TEMPO2-työnäytteenä Kainuun Ely-keskuksen päällikkö Kari Pehkonen) Intraan päivitykset kaikkien oikeutettujen saataville PRH | Yhteishankkeella tt-tasot kuntoon ja

enemmänkin!

Tietoturvatavoitteille tulee suunnitella aikataulu ja vastuut

Määrittämällä mittarit ja seurantatapa varmistetaan, että tavoitteiden toteutumista voidaan arvioida Tietoturvan kypsyys (itsearviointi, ulkoinen arviointi) Tietoturvatapahtumien määrä (lukumäärät, tapahtumat, kesto) Tietoturvatyöhön käytetty työaika/tapahtumat Vertailut muihin vastaaviin organisaatioihin (bencmarking). Ongelmana mistä tietoa – Voisi onnistua esim. Valtion IT-palvelukeskuksen keräämänä! PDCA – sykli ja vuosikellot


Kokonaisarkkitehtuuri ja tietoturva Laki julkisen hallinnon tietohallinnon ohjauksesta 634/2011 10 päivänä kesäkuuta 2011 10 § Tallennettujen tietojen hyödyntäminen Julkisen hallinnon viranomaisen on pyrittävä järjestämään toimintansa siten, että se käyttää tässä pykälässä tarkoitettuihin tietojärjestelmiin talletettuja tietoja, jos viranomaisen toiminta edellyttää näiden tietojen käyttöä. Näitä tietojärjestelmiä ovat: 1) väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetussa laissa (661/2009) tarkoitettu väestötietojärjestelmä ja lain 7 §:n 1 momentin 1, 2 ja 6 kohdassa tarkoitetut tiedot; 2) yhdistyslaissa (503/1989) tarkoitettu yhdistysrekisteri; 3) kaupparekisterilaissa (129/1979) tarkoitettu kaupparekisteri; 4) säätiölaissa (109/1930) tarkoitettu säätiörekisteri; 5) kiinteistötietojärjestelmästä ja siitä tuotettavasta tietopalvelusta annetussa laissa (453/2002) tarkoitettu kiinteistötietojärjestelmä; 6) yritys- ja yhteisötietolaissa (244/2001) tarkoitettu yritys- ja yhteisötietojärjestelmä.


Kokonaisarkkitehtuuri ja tietoturva Edellä 1 momentissa tarkoitettuihin tietojärjestelmiin rinnastetaan myös Maanmittauslaitoksen ja Geodeettisen laitoksen ylläpitämä maastotietoja koskeva tietojärjestelmä.

Prosessikuvaukset ovat osa laajempaa kokonaisarkkitehtuurikuvausta. Prosessien avulla tuotetaan palveluja, ja prosesseissa tarvitaan tietoa ja käsitellään tietoja, jotka on tallennettu tietojärjestelmiin. Prosessit ovat siten osa laajempaa arkkitehtuurista kokonaisuutta.

Tietoturvan olennaisimmat periaatteet sisällytetään kokonaisarkkitehtuuriin yhtenä osana, joten se on aina mukana.


Tietoaineistojen käsittely 3 luku. Asiakirjojen luokittelu (VN asetus 681/2010) 8 §. Luokituksen perusteet. Salassa pidettävät asiakirjat tai niihin sisältyvät tiedot voidaan luokitella sen mukaan, minkälaisia tietoturvallisuutta koskevia vaatimuksia niiden käsittelyssä on tarpeen noudattaa. • Luokittelu voidaan suorittaa myös siten, että tietoturvallisuutta koskevat

vaatimukset kohdistetaan vain sellaisiin asiakirjoihin tai sellaisiin asiakirjan käsittelyvaiheisiin, joissa erityistoimenpiteet ovat suojattavan edun vuoksi tarpeen.

• Luokitusta ei saa ulottaa sellaiseen asiakirjaan tai asiakirjan osiin, joissa käsittelyvaatimusten noudattaminen ei suojattavan edun vuoksi ole tarpeen.

Muu kuin salassa pidettävä asiakirja voidaan luokitella vain 9 §:n 2 momentissa tarkoitetuissa tapauksissa. Määrittely: asiakirjan käsittelyllä tarkoitetaan asiakirjan vastaanottamista, laatimista, tallettamista, katselua, muuttamista, luovuttamista, kopiointia, siirtoa, välittämistä, hävittämistä, säilyttämistä ja arkistointia sekä asiakirjaan automaattisen tietojenkäsittelyn, äänen- ja kuvantoistolaitteiden tai muiden apuvälineiden avulla taikka muutoin kohdistuvia toimenpiteitä;


Tulevaisuus Korotetettuun tietoturvatasoon pyrkiminen 2014 soveltuvin osin Tietoaineistojen käsittely / luokittelu Sidosryhmien tietoturvatasojen tarkastelu ja yhtenäistäminen Ulkomaiset vaatimukset ISO 27001 Valtion IT-palvelukeskus - haavoittuvuusskannaus ja tulevaisuus Materiaalipankki ja yhteiset käytännöt ja lomakkeet Yhteiset tiedotteet – ohjeistukset soveltuvin osin, myös CERT- ilmoituksiin yhteiset esim. haavoittuvuus korjaus-ohjeet (esim. lähiaikojen Java-, IE-haavoittuvuus, jne.) Yhteiset käytännöt – Yhteiset mittarit Yhteishankkeissa mukavaa porukkaa - Verkostoituminen Korotetun tason yhteishanke (jos järjestetään) Valtion yhteinen tietoliikenneratkaisu VY-verkko Virkamiehen kertakirjautumisratkaisu Virtu Valtion yhteinen viestintäratkaisu (Vyvi) Tietotilinpäätös


Valtion IT-palvelukeskus tuottaa meillekin VIP-tietoturvapalvelu auttaa valtionhallinnon organisaatioita kehittämään tietoturvallisuuttaan.

Asiantuntijapalveluita, joilla edesautetaan organisaatiota saavuttamaan tietoturvatasojen sekä ICT-varautumisen edellyttämä kypsyystaso vuosien 2010 - 2016 aikana

• Tietoturva-auditointipalvelu • Tietoturva-konsultointipalvelu • Haavoittuvuusskannausta

Asiantuntijapalveluiden ohella kehitetään lisäksi sähköisiä palveluita ja työkaluja, joiden avulla organisaation tietoturvatyötä voidaan tehostaa, esimerkiksi:

• Työkalupakki sisältäen oppimisympäristön, oppimateriaalit ja hyvien käytäntöjen jakamisen sekäkeskusteluareenan

• Riskien-ja verkostonhallinta • Tietoturvallisuuden raportointi ja mittaaminen


Työkalupakki tarjoaa ilmaiseksi Erilaisia työvälineitä – Tässä muutamia esimerkkinä:

Riskienhallintatyökalut Järjestelmien / palvelujen tärkeysluokittelija Jatkuvuudenhallinnan ja toipumissuunnittelun välineet Välineet tietoturvallisuuden vuosikellon hoitamiseen Hankintojen tietoturvavaatimusten työkalut Tietoturvatasojen apuvälineet perustason, korotetun ja korkean tason vaatimuksiin Ja lisäksi erilaisia koulutus- ja seminaariaineistoja

Kaikki nämä ovat ilmaisia, kaikille organisaatioille vapaasti käytettäviä työvälineitä.


kalle lehtonen: yhteishankkeella tietoturvatasot kuntoon

Documents