Val-DIAS

Kimmo Rousku, Hanna Heikkinen, Juha Kirves Väestörekisterikeskus

• 8:00 – 9:00 Tarjolla aamupala Paasitornissa – SYÖTY!

• 9:00 – 9:30 Palvelun tausta ja palvelukokonaisuuden esittely, Kimmo Rousku, Väestörekisterikeskus

• 9:30 – 10:00 Palvelun esittely ja käyttöönotto asiakasorganisaatioissa sekä hinnasto, Hanna Heikkinen, Väestörekisterikeskus

• 10:00 – 10:30 Ajankohtaiskatsaus julkisenhallinnon digitaaliseen turvallisuuteen ja VAHTI-ajankohtaiskatsaus, Kimmo Rousku, Väestörekisterikeskus

• Tauko

• 10:40 – 11:00 Toimittajien esittelyt: Consultor Finland

• 11:00 – 11:20 Toimittajien esittelyt: KPMG

• 11:20 – 11:40 Toimittajien esittelyt: Netum

• 11:40 – 12:00 Toimittajien esittelyt: Ryhmittymä Relator, Kumura ja InstaDefSec

Aikataulutus

16.11.2017

•Valtioneuvoston asetus Väestörekisterikeskuksen eräistä tehtävistä

–Asetuksen 2 §:ssä ehdotetaan, että Väestörekisterikeskuksen tehtävänä on tuottaa valtiovarainministeriölle ja muille julkisen hallinnon viranomaisille julkisen hallinnon tietohallinnon asiantuntijatehtäviä ja palveluita. Väestörekisterikeskus valmistelee ja kehittää julkisen hallinnon tietohallintoa, tiedonhallintaa, digitaalista turvallisuutta ja sähköistä asiointia koskevia menetelmiä, arkkitehtuurikuvauksia, suosituksia ja ohjeita. Lisäksi Väestörekisterikeskus tarjoaa julkisen hallinnon tietohallintoa, tiedonhallintaa, digitaalista turvallisuutta ja sähköistä asiointia koskevia asiantuntijapalveluja sekä kokoaa yleistä tilannekuvaa. Väestörekisterikeskus tuottaa ja kehittää myös edellä mainittuihin tehtäviin liittyviä välineitä ja kehitysympäristöjä. Asetus ehdotetaan tulevan voimaan 1 päivänä tammikuuta 2018.

Miksi olemme nyt täällä –VRKn toteuttamassa tilaisuudessa?

Vastaamme julkisen hallinnon digitaalisen turvallisuuden kehittämisestä muun muassa:

a) Vastaamme valtiovarainministeriön asettaman julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) operatiivisesta toiminnasta,

b) julkisen hallinnon digitaalisen turvallisuuden asiantuntijapalveluita sekä

c) kehitämme yhteistyössä Viestintäviraston Kyberturvallisuuskeskuksen kanssa GovCERT-palveluita

VRKn muuttunut rooli

• Ei, tietoturvallisuus ei ole suoraan ihan näin vanhaa ja vaikka tietoturvallisuuden asiantuntijapalveluita on tuotettu pitkään, olemme vasta tuottaneet näitä kahdeksan vuotta

Aloitetaan muinaiset foinikialaiset – osastolla -

historian havinaa

50 vuotta JUHTAA ja VAHTIA -juhlaseminaari

50 vuotta JUHTAA ja VAHTIA -juhlaseminaari

• Jos miettii nykyistä voimassa olevaa tietoturvallisuutta koskevaa säädöspohjaa, tässä viime vuosituhannella julkaistussa kirjassa on monta asiaa, jotka se on saanut aikaiseksi … vaikka sen perusteella Suomeen ei saatu uutta tietoturvallisuuslakia sellaisenaan

• Olisi tarvetta edelleenkin …

Tuntuvatko seuraavatkuvat miten tutuilta?

Valtion IT-palvelukeskuksen perustaminen 1.1.2009, itse aloitin 1.3.2009 – 1. tehtävä oli perustaa valtionhallinnon tietoturvallisuuden asiantuntijapalvelu, joka aloitti tammikuussa 2010 (VIPin 1. tuotteistettu palvelu). Ennen VY-verkko tai VYVI.

Palvelua uudelleenmuotoiltiin1.3.2014 (Valtorin 1. oma tuotteistettu palvelu) ja joka taas uudelleen synnytettiin nyt keväällä Väestörekisterikeskuksessa 2018 jo 3. kerran.

• vuosi toimeksiantojen lkm htp

• 2017 176 4760

• 2016 157 5402

• 2015 144 4194

• 2014 101 2812

• 2013 135 2576

• 2012 103 2491

• 2011 72 1130

• 2010 63 1091

Yht 951 24 456 + vuoden 2018 alkuosa eli >1000 TA ja >25 000 htp

Palvelun kysyntä ja kehittyminen

• Valtion varmennetuotannon uudelleen organisoinnin selvitys, riskien kartoitus.

” Valtiovarainministeriö (VM) on asettanut työryhmän selvittämään valtion varmennetuotannon uudelleen organisointia. …Sosiaali- ja Terveysministeriö (STM), Valvira ja VRK ovat suunnitelleet, että vaiheessa 1. Valviran varmennepalvelutuotanto siirrettäisiin vuoden 2010 elokuun loppuun mennessä VRK:lle. Valvira, VRK ja VIP ovat lisäksi selvittämässä mahdollisuutta siihen, että vaiheessa 2. VIP:iin perustettaisiin tarvittavat toiminnot varmennepalvelutuotannon keskitettyä hoitamista varten vuoden 2012 loppuun mennessä. Työryhmän selvitys on vielä valmisteilla.”

Mikä oli 1. toimeksianto?

• Hinnoittelu Hanselin osaamistasojen mukaan

• 1. taso 860 € => 885 € => 330 € => ???

• 2. taso 900 € => 930 € => 650 € => ???

• 3. taso 1190 € => 1230 € => 1075 € => ???

Hintojen kehitys – v 2010 | 2013 | 2014 | 2018

• Pohjautuu Hansel Oy:n Johtamisen ja kehittämisen konsultointipalvelut 2017-2021 –puitesopimuksen osa-alue C) IT-johtaminen ja -riskienhallinta, tietohallinnon kehittäminen

• Osa-alueella 14 toimittajaa, saimme viisi tarjousta ja tarjouspyyntömme mukaisesti valitsimme neljä toimittajaa.

• Hanna kertoo itse palvelusta ja siihen liityvistä prosesseista tarkemmin.

Kilpailutus

• Nyt esittelemme Val-DIAS-palvelua eli valtionhallinnolle tarkoitettua palvelukokonaisuutta. Aikaisemmin esittelemäni VRK:n asetusmuutos mahdollistaa palveluiden tuottamisen julkisen hallinnon organisaatioille, tulemme kilpailuttamaan vastaavanlaisen palvelun myös heille – siis Jul-DIAS-palvelu. Tuotantomalli ja prosessi tulevat olemaan hyvin samankaltaiset.

• Keskeinen tarve on a) toimintaympäristössä tapahtuvat muutokset –turvallisuudesta on tullut kaiken digitaalisen toiminnan välttämättömyys sekä b) alustavasti vuonna 2019 voimaan astuvan tiedonhallintalain tuomat muutokset koskien tietoturvallisuutta koskevaa lainsäädäntöä– Siis vuoden 2010 tietoturvallisuusasetus 681/2010 kumotaan, samalla uusi laki tuo samat

velvoitteet koko julkiselle hallinnolle, ei enää pelkästään valtionhallinnolle

Miten tulemme kehittämään asiantuntijapalveluita?

• 1) Soveltamisala laajenee – julkinen hallinto

• 2) Suojaustasojen mukainen tietoaineistojen luokittelu poistuu

– Turvallisuusluokittelun mukainen ST IV Käyttö rajoitettu – ST Erittäin salainen malli säilyy

▪ Tämän on huomioitu palvelussamme

– Tilalle tulee julkinen / salassa pidettävä malli

• 3) Tietoturvatasot poistuvat

– Tilalle tulee tietoturvallisuuden vähimmäistaso

– Organisaation arvioitava, miten se riittää sekä toteutettava sen ylittävät vaatimukset

• 4) Riskienhallinnan sääntelyä täsmennetään ja riskiarvion perustella tehtävät tietoturvallisuustoimenpiteet tuodaan lain tasolle

– Tulee nostamaan edelleen riskienhallinnan merkitystä

Tiivistetysti tulevasta lainsäädännöstä

• Mitä muuta alustavasti on tarkoitus tässä yhteydessä – tai erikseen kilpailuttaa (luonnos)

– BugBounty eli haavoittuvuuspalkinto-ohjelmatoiminnan mahdollistava ”operaattori” – huolehtii ja hallitsee palkinto-ohjelmia, hakkereita ja heidän palkkioitaan > sama toimeksiantomalli kuin muissa toimeksiannoissa

– Tieto- ja kyberturvallisuusharjoitustoimintaan liittyvät palvelut

▪ Julkisen hallinnon tulisi jatkossa yhä enemmän harjoitella niin yksin kuin yhdessä

• Nyt teillä on mahdollisuus myös ehdottaa palveluita, joita te toivoisitte meidän pystyvän teille tarjoamaan?

Miten tulemme kehittämään asiantuntijapalveluita?

VALTIONHALLINNON DIGITAALISEN TURVALLISUUDEN ASIANTUNTIJAPALVELU

VAL-DIAS

Auditointi- ja konsultointipalvelut

Hanna Heikkinen, Paasitorni, 24.4.2018

Asiakkaiden tarpeiden mukaisesti, esimerkiksi

• Erilaiset hallinnolliset ja tekniset auditoinnit– Lisäksi mukana olevien Viestintäviraston hyväksymien arviointilaitosten suorittamat

tarkastukset (KPMGn ja Netumin alihankkijoina)

• Tietoturvakonsultointi; hallinnollinen ja tekninen konsultointi – Tieto- tai kyberturvallisuuden, tietosuojan hallintajärjestelmän vaatimien dokumenttien,

prosessien tai hallinnollisten menettelyiden kehittämiseen, riskienhallintaan, jatkuvuuden hallinnan kehittämiseen

– Toimitilojen, ohjelmistojen, palvelinten, työasemien tai tietoliikennelaitteiden tietoturvaratkaisuiden tai -ominaisuuksien kehittämistä sekä arkkitehtuurin suunnittelua.

Väestörekisterikeskus vastaa palvelun tuottamisesta, toimeksiantojen koordinoinnista ja valvoo palvelun laatua

Auditointi- ja konsultointipalvelut

• Mihin palvelua ei voida käyttää?

– Sellaiseen, jonka laskuttaminen jostain syystä ei sisällä tietoturvallisuuteen liittyvää konsultointia tai auditointia tai jota ei voida laskuttaa henkilötyöpäiväperusteisesti

– Tässä asiakkaat voivat käyttää myös mielikuvitusta – tarkoituksena on palvelulla Teidän tarpeita mahdollisimman joustavasti

▪ Tarvittaessa erikoisemmissa tarpeissa konsultoimme puitesopimuksen toteutumisen osalta Hanselia

Auditointi- ja konsultointipalvelut

• Valmiiksi kilpailutetut auditointi- ja konsultointipalvelut, hankintarajat eivät aseta mitään estettä

• Toimii vakioidulla, hyvin suunniteltujen ja toteutettujen prosessien sekä parhaiden käytäntöjen mukaisesti – taustalla yli 8 v palvelutuotantoa

• Otettavissa käyttöön nopeasti, helposti ja kustannustehokkaasti

• Mahdollisuus toimeksiannon muutoksiin työn aikana

• Turvallisuusselvitetyt, vaitiolositoumuksen allekirjoittaneet konsultit, jotka saavat perehdytystä toimintaan valtionhallinnon asiakkuuksien kanssa

• Toimittajat, joiden tietoturvallisuus on arvioitu

Palvelun hyödyt

• Jo alkuvaiheessa 350 + asiantuntijaa, erittäin laajan osaamispohjan omaava toimittajaverkosto, neljän toimittajan alihankkijoina kymmeniä alihankkijoita

• Kattavuus entistä parempi koko Suomen tasolla, ei pelkästään pääkaupunkiseutu

• Väestörekisterikeskus auttaa asiakasta löytämään parhaimmat resurssit tilattuun työhön.

• Väestörekisterikeskuksen tuki mahdollisissa ongelmatilanteissa

Palvelun hyödyt

• KPMG Oy Ab

• Netum Oy

• Ryhmittymä Relator Oy, Kumura Oy, Insta DefSec Oy

• Consultor Finland Oy

• Alihankkijoiden kanssa tehty turvallisuussopimukset sekä kaikki heidän toimeksiantojen toteuttamisessa käyttämät henkilöt sekä asiantuntijat turvallisuusselvitetään ja heidän kanssa tehdään vaitiolositoumus

Palvelun tuottamisessa käytettävät alihankkijat

Toimeksiantoprosessi

• 1) Asiakkaan toimeksianto VRKlle

• 2) VRK valitsee Alihankkijan

• 3) Asiakas ja Alihankkija tarkentavat toimeksiannon

• 4) Alihankkija laatii työmääräarvion toimeksiantoon

Toimeksiantoprosessi

• 5) VRK tarkastaa työmääräarvion ja lähettää sen Asiakkaalle

• 6) Asiakas hyväksyy työmääräarvion ja lähettää tilauksen VRKlle

• 7) VRK lähettää tilausvahvistuksen Alihankkijalle

• 8) Alihankkija aloittaa toimeksiannon suorittamisen

Toimeksiantoprosessi

• 9) Toimeksiannon päätyttyä Alihankkija toimittaa Asiakkaalle sovitut lopputuotokset ja tuntiraportit sekä muut mahdolliset kustannukset

• 10) Asiakas hyväksyy tuotokset ja tuntiraportit tai reklamoi VRKllekahden viikon kuluessa

• 11) Alihankkija saa laskuttaa toimeksiannon VRKlta

• 12) VRK laskuttaa toimeksiannon ja siihen liittyvät muut kustannukset Asiakkaalta

Toimeksiantojen perushinta per henkilötyöpäivä

• Perustaso, osaamistaso 1 720 € htp

• Perustaso, osaamistaso 2 760 € htp

• Perustaso, osaamistaso 3 890 € htp

• Perustaso, osaamistaso 3 Netum 950 € htp

Hinnasto

Mikäli Asiakas luokittelee toimeksiantoon liittyvää tietoa turvallisuusluokka ST III Luottamuksellinen, tällöin se edellyttää toimittajalta suurempaa huolellisuutta ja turvallisempaa toimintaympäristöä tiedon käsittelyssä. Alihankkija on tällöin halutessaan oikeutettu veloittamaan Asiakkaalta lisäveloitus htp-hinnan lisäksi. Toimittajakohtainen TL -lisähinta:

• Consultor Finland Oy 136 € htp

• KPMG Oy Ab 350 € htp

• Netum Oy 365 € htp

• Ryhmittymä Relator Oy, Kumura Oy, Insta DefSec Oy 200 € htp

Hinnasto – ST TL III lisä

• Toimeksiannon, esimerkiksi auditoinnin tuloksena syntyvät asiakirjat luokitellaan niiden salassapidon edellyttävälle tasolle, luokittelusta vastaa aina Asiakas.

• Mahdollinen toimeksiannon kasvatus voi olla enintään 25% alkuperäisestä tilatusta toimeksiannosta, muussa tapauksessa tulee tehdä uusi toimeksianto.

Huomioita

• Toimitamme palveluun käynnistämiseen liittyvät asiakirjat kaikille nykyisille asiakkaille – uusien asiakkaiden osalta ottakaa meihin yhteyttä.

• Suositus

– Pyrkikää nyt jo hyvissä ajoin suunnittelemaan ja laitamaan liikkeelle toimeksiantonne jo koskien syksyä, tällä tavalla varmistatte parhaiten tarvittavat resurssit toimeksiannon toteuttamisessa

– Ad hoc tyyppisiin toimeksiantoihin vaaditaan hyvää tuuria, että oikeanlaisia asiantuntijoita on saatavilla – siihen ei pidä luottaa

Miten palvelun saa käyttöön?

Kysymyksiä?

Kiitos!

Lisätietoja:

ttpalvelut@vrk.fi

hanna.heikkinen@vrk.fi

Ajankohtaiskatsaus julkisenhallinnon

digitaaliseen turvallisuuteen ja VAHTI-ajankohtaiskatsaus

Paasitorni 24.4.2018 Kimmo Rousku

Miltä meidän tilanne näyttää?

Perusteluni

https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2017/haavoittuvuus-2017-035.html

• Laskevasti.

• VAHTI-barometri kertoo huolestuttavasta suuntauksesta.

Miten nämä vaikuttavat kansalaisten tai henkilöstömme turvallisuuden tunteeseen?

Turvallisuudentunne

‒ Hyvin turvalliseksi osuus laskenut 16,4% - vuodessa - kuitenkin vähintään turvallinen edelleen 91,9% vs 96,4% vuonna 2016

5.2 Miten koet, että tietoturvallisuus on toteutettu organisaatiossasi? Tietoturvallisuus toteutuu mielestäni:

1(1)

Totetuminen Kaikki % Valtio % Kunta % Sairaanhoitopiirit %

Erittäin hyvin 1528 18,80 % 789 22,00 % 520 15,1 % 185 23,4 %

Hyvin 5852 72,0 % 2529 70,60 % 2541 74,0 % 544 68,8 %

Huonosti 698 8,6 % 241 6,70 % 353 10,3 % 60 7,6 %

Erittäin huonosti 45 0,6 % 22 0,60 % 20 0,6 % 2 0,3 %

Yhteensä 8123 100,0 % 3581 100 % 3434 100,0 % 791 100,0 %

1(1)

Toteutuminen Kaikki % Valtio % Kunnat %

Erittäin hyvä 4889 35,1 % 2247 33,8 % 2641 36,4 %

Hyvä 8505 61,1 % 4141 62,2 % 4364 60,1 %

Huono 444 3,2 % 232 3,5 % 212 2,9 %

Erittäin huono 74 0,5 % 33 0,5 % 41 0,6 %

Yhteensä 13912 100,0 % 6653 100,0 % 7258 100,0 %

‒ Erittäin hyvin -osuus laskenut 16,3 prosenttiyksikköä – siis 46% - vuodessa - kuitenkin vähintään hyvin edelleen 90,8% vs 96,2% vuonna 2016

• Sosiaalisen median palvelut, etenkin Fb on ollut todella paljon esillä viimeisten kuukausien aikana.

• Voit itse myös testata ja katsoa:

• https://www.facebook.com/help/1873665312923476

Case sosiaalinen media – esimerkkinä Fb

Case sosiaalinen media – esimerkkinä Fb

• … ja ei muuta vielä kuin hyvää Chiantiapullollinen …

Muuta ajankohtaista

Miten olemme saaneet VAHTI-koneemme liikkeelle?

• Digitaalisen turvallisuuden kehittäminen tapahtuu– 1. Lainsäädännön avulla, esimerkiksi

▪ Valmistelussa oleva tiedonhallintalaki

▪ Osin EU:n yleinen tietosuoja-asetus, kansallinen tietosuojalaki

– 2. Kehittämistoimenpiteiden avulla▪ Nyt laadittavana oleva julkisen hallinnon digitaalisen turvallisuuden

kehittämisohjelma (JUDO)

▪ Lisäksi esimerkiksi Suomen Kyberturvallisuusstrategian toimeenpano

– 3. Kriisiytymällä▪ Ei toivottava tapa

Miten turvallisuuden kehittäminen tapahtuu?

Julkisen hallinnon digitaalisen turvallisuuden kehittämisohjelma – JUDO - luonnos

• Kevään aikana viimeistely ja VM hyväksyy kehittämisohjelman ja sitä tukevan toimeenpano-ohjelman kesä aikana

• Kokonaisuus julkaistaan kesälomien jälkeen, organisaatio valitsee parhaiten omaan toimintaan liittyvät 2-4 toimeenpano-ohjelman kohtaa, joiden avulla se kehittää oman organisaation toimintaa

Aikataulu

Tietosuojan ja tietoturvallisuuden edistäminen –osa JUHTA/VAHTI-yhteishankkeita

• www.arjentietosuoja.fi – kolme videota - ~130 000 katselukertaa > 300 k katselijaa

– Arjen tietosuojaa - tietosuojaa meille kaikille

– Johdon ja esimiesten koulutusvideo

– Tietosuojaa henkilötietoja käsitteleville –video

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

Tietosuojayhteishankkeet

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

Tietosuojayhteishankkeet

• TAISTO18-harjoitus

– TietoturvA- ja tIetoSuojaloukkausTilanteiden harjOitus

• Onko teillä toimiva prosessi tietoturvaloukkusten ja niissä yhteyksissä syntyvien henkilötietojen tietoturvaloukkausten hallitsemiseksi?

– Millaisen riskin syntynyt tilanne aiheuttaa – rekisteröidylle?

– Milloin ja kenelle pitää tehdä ilmoitus – tietosuojaviranomainen? Rekisteröity? Milloin ilmoitusta ei tarvitse tehdä? Entä Viestintäviraston Kyberturvallisuuskeskus tai Poliisi?

• Tätä kaikkea pääsee harjoittelemaan marraskuun Taisto18-harjoituksessa – kutsu on valmistelussa valtiovarainministeriössä!

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

Ajankohtaista digiturvallisuudesta 1/2018• Henkilöstö - neljä

videota ja noin 21 minuuttia – katso vaikkapa video / viikko

• Edesauttaa turvallisuutta myös kotona ja vapaa-ajalla!

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

Ajankohtaista digiturvallisuudesta 1/2018

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

Aikataulu

• Seuraava ajankohtaiskatsaus julkaistaan 6/2018 sekä 10/2018 osana julkisen hallinnon digitaalisen turvallisuuden teemakuukautta

• Jos tämän vuoden pilotointi osoittaa näiden tarpeellisuuden, jatkossa näitä tuotetaan esimerkiksi 3 krt / vuosi – 2 – 6 – 10/2019?

• Toivomme saavamme näistä palautetta eri muodoissa, digiturva-sivustolla on oma palautekysely videoblogeja varten.

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

JHDT teemakuukausi - lokakuu

• Ma 8.10.2018 Suoria luentoja netissä koskien tieto- ja kyberturvallisuus –päivän lopussa paneeli

• Ti 9.10.2018 Suoria luentoja netissä koskien tietosuojaa, päivän lopussa paneeli

• Ke 10.10 – To 11.10 Kyberturvallisuusmessut Messukeskuksessa (kutsu)

• 24.10 Julkisen hallinnon ylimmän johdon seminaari (oma kutsu)

• Lisäksi lokakuun aikana pyrimme toteuttamaan julkisen hallinnon johdolle suunnatun uuden uhkamallinnus-kyselyn ja luomaan siihen liittyvän raportin helpottamaan vuoden 2019 turvallisuustyön ja riskienhallinnan suunnittelua

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

Riskienhallinnan merkityksen nousu

• Kaiken turvallisuustyön pitäisi pohjautua RISKIENHALLINTAAN– Kaikki meidän toiminta pohjautuu riskienhallintaan, vaikka et ole sitä

välttämättä sellaiseksi tunnistanut!

• Riskienhallinta– Siis kuinka hallita epävarmuuden vaikutusta tavoitteisiin ja toimintaan,

poikkeamaa odotetusta. Vaikutus voi olla myös myönteinen tai kielteinen odotettuun verrattuna.

– Nykyaikana tärkeää olisi tunnistaa myös mahdollisuuksia – joista toiminnan digitalisaatio, teknologian tarjoamat mahdollisuudet ovat loistava esimerkki

– Riskienhallinta mahdollistaa riskien ottamisen – riskinottokyky ja riskinottohalukkuus sekä jäännösriskien hallinta – et voi toteuttaa 100% tietoturvaa tai tietosuojaa, siis päästä 0% jäännösriskiin

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

Lisätietoa ja apua

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

Riskienhallintaa

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

• Tiedonhallintalain uudistaminen mahdollistaa uuden tieto => digitaalista turvallisuutta käsittelevien vaatimusten uudistamisen

• Työ ollut käynnissä jo v 2016 saakka, mutta lainsäädäntötyön aikataulun muutos vuodelle 2019 siirsi myös VAHTI 100-vaatimustyön aikataulutusta

• VAHTI 100 on uusi digitaalisen turvallisuuden vaatimuskehikko, jolla korvataan ja uudistetaan vanhat VAHTI-vaatimukset sekä ohjeet– Nykyaikainen, joustava, ketterä, ei päällekkäisyyksiä, riskilähtöinen

vaatimuskehikko, jonka tueksi luodaan tarvittavat arviontikriteeristöt

VAHTI 100 -vaatimukset

• Miten ja mistä osa-alueista VAHTI 100-vaatimukset tulevat koostumaan:

– Vaatimukset

▪ Organisaation turvallisuus – vähimmäistason osalta

▪ Tietojärjestelmät

▪ Hankintavaatimukset (osa hankinta-asiakirjoja)

– Arviointikriteeristö – miten vaatimustenmukaisuus voidaan tarkistaa?

▪ Organisaatio

▪ Tietojärjestelmät

▪ Hankinta

VAHTI 100-vaatimukset

• Erityisen tärkeää on kuvata ja ohjeistaa riskienarviointiprosessi vähimmäistason vaatimusten ylittävältä osalta

– Sekä mitkä ovat ne ~20 keskeisintä kontrollia, joilla näitä uhkia voidaan pienentää – osin sovitettava ja mietittävä mitkä ovat olleet nyt meillä keskeisiä, toimivia korotetun tason vaatimuksia

• Tarkoitus saada vaatimukset palasittain kesälomien jälkeen pilotoitavaksi

• Kirsi Janhunen vastaa tästä kokonaisuudesta VRK:ssa

VAHTI 100-vaatimukset

Miksi MMKT – sinua yritetään huijata yhä ovelammin

24.4.2018 Paasitorni - Val-DIAS-palvelun esittelytilaisuus

* Kaiken mahdollisen

*)