pptx - CSC

Download Report

Transcript pptx - CSC 

Tietoturvallisuuden hallinta VIP:issä
Virtu-luottamusverkosto
Tommi Simula
Tietoturva-asiantuntija (CISSP, GSEC, MCSE)
Tietoturvapalvelut
Valtion IT-palvelukeskus
12.1.2012
Agenda
•
Tietoturvallisuuden hallinnan lähtökohdat VIP:in
palveluissa
•
VIP Tietoturvallisuus 1.0 Hankkeissa
•
VIP Tietoturvallisuus 1.0 Jatkuvissa Palveluissa
•
Liittyminen Virtu-luottamusverkostoon
7.12.2011 Palveluiden läpikäynti
Tietoturvallisuuden hallinnan
lähtökohdat
•
•
Sisäiset velvoitteet
-
Valtiokonttorin/VIPin tietoturvapolitiikka
-
ISO27001 –standardiin pohjautuva tietoturvallisuuden
hallintajärjestelmä
Ulkoiset velvoitteet
-
Valtioneuvoston asetus tietoturvallisuudesta
valtionhallinnossa 1.7.2010/681
-
VAHTI 02/2010 - Ohje tietoturvallisuudesta
valtionhallinnossa annetun asetuksen täytäntöönpanosta
-
Julkisuuslakiin 621/1999 liittyvät määräykset
-
Henkilötietolaki 22.4.1999/523
7.12.2011 Palveluiden läpikäynti
Miten tietoaineistot vaikuttavat
tietoturvatason valintaan
ST I
Erittäin
salainen
ST II
Salainen
ST III
Luottamuksellinen
ST IV
Käyttö rajoitettu
ERITYISTASO
KORKEA TASO
TURVATTAVAT
KOHTEET
TURVATTAVAT
KOHTEET
KOROTETTU TASO
TURVATTAVAT
KOHTEET
PERUSTASO
TURVATTAVAT
KOHTEET
Miten tietoturvallisuus toteutetaan?
•
Uusissa palveluissa osana hankkeen elinkaarenhallintaa,
keskeisessä roolissa kilpailutuksessa edellytettävät
tietoturvallisuutta koskevat vaatimusmääritykset
 VIP Tietoturvallisuus 1.0 hankkeissa -toimintamalli
•
Jatkuvien palveluiden osalta edellytetään
tietoturvatasojen ja muiden keskeisten palvelun
tuottamiseen liittyvien toimintamallien saavuttamista
 VIP Tietoturvallisuus 1.0 jatkuvissa palveluissa toimintamalli
7.12.2011 Palveluiden läpikäynti
Miten tietoturvallisuus toteutetaan?
Hankevaihe
• Tietoturvallisuus hankkeen
suunnittelussa, kilpailutuksessa
ja tuotantoon hyväksymisessä
Tuotantovaihe –
jatkuva palvelu
• Tietoturvallisuuden
vuosikello
7.12.2011 Palveluiden läpikäynti
Suunnittelun ja kilpailutuksen tietoturvavaatimukset
7.12.2011 Palveluiden läpikäynti
Tietoturvavaatimusten osa-alueet
1.
Tietoturvatasovaatimukset (TTA
681/2010, VAHTI 2/2010)
Perustaso
ST IV / III / II –tasojen
tietoaineiston käsittelykyky
Korotettu
taso
-
2. ICT-varautumisen vaatimukset
- VM-hanke, jolla vaatimukset
viimeistellään ja virallistetaan,
tässä käytetty luonnosversion
vaatimuksia
7.12.2011 Palveluiden läpikäynti
Korkea
taso
Vaatimusalueet
3. Tekniset vaatimukset
-
Palvelun tuottamiseen käytettävän palvelin- ja
tietoliikenneympäristön, sekä käyttöpalvelutoimittajaa
koskevat yleiset tietoturvavaatimukset
-
Perustuvat yleisiin best practice –malleihin
4. Sovelluskehityksen vaatimukset
-
Vaatimukset palvelussa tai palvelulle tuotettavalle
sovelluskoodille ja sovelluskehitysprosessille
-
Lähtökohtana ensivaiheessa SANS/CWE Top25 ja
OWASP Top Ten
7.12.2011 Palveluiden läpikäynti
Vaatimusalueet
5. Hankittavan kohteen erityisvaatimukset
-
Esim. riskianalyysin pohjalta tuotettavat, juuri tätä
hankintaa koskevat tietoturvavaatimukset
6. Jatkuvassa palvelussa edellytettävät asiat
-
Ennen hankkeen hyväksyntää edellytettävät jatkuvan
palvelun tietoturvaprosesseihin liittyvät vaatimukset
-
Perustuvat VIP Tietoturvallisuus Jatkuvissa Palveluissa
1.0 –toimintamallin mukaiseen tietoturvallisuuden
vuosikelloon
7.12.2011 Palveluiden läpikäynti
Jatkuvilta palveluilta edellytettävät tietoturva-asiat
•
Kun palvelu on toiminnassa ns. jatkuvana palveluna, siltä tulee
edellyttää tiettyjä vaatimuksia.
•
Palvelun tulee täyttää tietoturvatasojen mukaiset perustason
vaatimukset palvelun käyttöönoton yhteydessä ja korotetun ja
korkean tason osalta erikseen sovittavan aikataulun mukaisesti.
•
Valtion IT-palvelukeskus on sitoutunut täyttämään korotetun
tietoturvatason vaatimukset kaikissa keskeisissä palveluissa
vuoden 2013 loppuun mennessä
7.12.2011 Palveluiden läpikäynti
Hyväksymiskriteeristö jatkuviin
palveluihin siirtoon
•
Projekti- tai hankepäällikkö vastaa jatkuviin palveluihin
siirrosta osana hyväksymistestausta
•
Palvelun auditointi hyväksymistestauksen yhteydessä
-
Auditointiin sisältyy minimissään määriteltyjen
tietoturvatasojen ja ICT-varautumisen vaatimusten, sekä
vaatimus-excelin välilehdellä 6 määritellyt ennen palvelun
käyttöönottoa vaadittavien kohtien tarkastus
-
Kaikki tekniset vakavat havainnot ja poikkeamat tulee olla
korjattu ennen käyttöönottoa tai siirtoa jatkuviin palveluihin
-
Muista merkittävistä havainnoista tulee olla aikataulutettu
korjaussuunnitelma
-
Asetetut vaatimukset lisätään palvelun
turvallisuussopimuksen liitteeksi
7.12.2011 Palveluiden läpikäynti
VIP Tietoturvallisuus Jatkuvissa
Palveluissa 1.0 -toimintamalli
1. Järjestelmän ja ympäristön perustiedot ja kuvaukset
-
Turvallisuuskuvaus, järjestelmäkuvaus, rekisteriselosteet
2. ICT-riskien arviointiprosessi
-
Arvioidaan vuosittain, kehitys- ja korjaustoimenpiteiden etenemisen
seuranta 2-4 kertaa vuodessa
3. Toipumissuunnitelma(t)
-
Palvelu- tai järjestelmäkohtainen yksityiskohtainen suunnitelma
teknisistä häiriöistä toipumiseen
-
Häiriöviestinnällä keskeinen rooli
7.12.2011 Palveluiden läpikäynti
VIP Tietoturvallisuus Jatkuvissa
Palveluissa 1.0 -toimintamalli
5. Palvelun auditointisuunnitelma sekä suoritettavat
säännönmukaiset auditoinnit
-
Säännölliset tietoturva-auditoinnit palvelun kriittisyyden ja
siinä käsiteltävien tietojen vaatimusten mukaan
-
Valtiokonttori osallistuu VM:n rahoittamaan
haavoittuvuusskannauspalvelu-hankkeeseen ja kaikki
keskeiset palvelut liitetään tähän palveluun
6. Sopimusten katselmointi tietoturvallisuuden osalta
-
Vuositasolla katselmoidaan sopimusten toteutuminen
7. Tietoturvallisuuden liittäminen toimittajayhteistyöhön
-
Säännöllisissä toimittajatapaamisessa tietoturva-asiat
ovat asialistalla (poikkeamat, raportit, kehitys)
7.12.2011 Palveluiden läpikäynti
VIP Tietoturvallisuus Jatkuvissa
Palveluissa 1.0 -toimintamalli
8. Tietoturvapoikkeamien hallinta ja raportointi
-
Häiriötilanteiden hallinta, eli vastuut, yhteyskanavat ja
eskalointi tietoturvapoikkeamien tai niiden epäilyjen
ilmetessä
9. Tietoturvallisuuden vastuunjakotaulukko
-
Kuvaus tietoturvallisuuden vastuista sidosryhmittäin ja
rooleittain
-
Suosituksena RACI-malli
10. Palvelun tietoturvallisuuden vuosikello
-
Miten edellä kuvatut toimenpiteet sidotaan organisoituun
ja säännölliseen toimintamalliin
7.12.2011 Palveluiden läpikäynti
Tietoturvallisuuden vuosikello esimerkki
7.12.2011 Palveluiden läpikäynti
Liittyminen Virtu-luottamusverkostoon
Palvelun omistaja (VIP) asettaa palveluun liittymisen edellytykset
tietoturvallisuuden osalta. Virtu IdP -palvelun osalta asiakkaan IdPpalveluympäristöltä edellytetään tietoturvatasojen korotettua tasoa.
Palveluun liittyvä organisaatio tilaa auditoinnin VIP:iltä. Auditointiin
sisältyy organisaation arviointi sekä IT-arviointi.
Jos poikkeamia löytyy, tehdään toimenpidesuunnitelma poikkeamien
korjaamiseksi. Virtun kannalta on tärkeätä, että organisaatiolla ei ole
kriittisiä poikkeamia, jotka vaarantaisivat sekä liittyvän organisaation,
Virtu-palvelun sekä mahdollisesti myös muiden palvelua käyttävien
asiakkaiden tietoturvallisuuden.
Kun kriittiset poikkeamat on korjattu ja muiden merkittävien
poikkeamien osalta on luotu aikataulutettu toimenpidesuunnitelma, voi organisaatio liittyä palveluun.
Kysymyksiä?
VIP Tietoturvapalvelut
•
Asiantuntija- ja konsultointipalvelut
•
Tietoturvapäällikköpalvelu
•
Koulutuspalvelut
•
Auditointi- ja tarkastuspalvelut
[email protected]
VIP Tietoturvallisuuden Työkalupakki
http://www.valtiokonttori.fi/Public/Default.aspx?nodeid=21701
Kysy tietoturvallisuudesta
http://valtiokonttori.fi/Public/default.aspx?nodeid=24747
7.12.2011 Palveluiden läpikäynti