2005 poliisin tietohallintokeskus - tietoturvallisuuden … · 2016. 8. 31. · 2005 poliisin...

2005 Poliisin tietohallintokeskus - Tietoturvallisuuden laatujohtaminen, sivu 0


TietoturvallisuudenTietoturvallisuuden laatujohtaminenlaatujohtaminen

Aaro Hallikainen, FM, CISSPHallintopäällikköPoliisin tietohallintokeskus

Johto tarvitsee numerotietoa turvallisuusinvestointipäätöstensä tueksi.

Esitelmä käsittelee tietoturvallisuuden laatuarviointia suomalaisten valtionhallinnon ohjeiden avulla.

Esimerkkitapaukset pohjautuvat todellisiin arviointitilanteisiin.


SisSisäältltöö

VAHTI-ohjeistoErilaisia arviointiperiaatteitaTietoturvallisuuden arviointi turvallisuuden laatuarvioinnin yhteydessäEsimerkkejä arviointihankkeiden ajallisesta kestosta sekäarvioijaryhmän kokoonpanostaTietoturvallisuuden laadun mittareitaTasapainotettu arviointi (BSC, balanced score card) sekäEFQM-malliJohdon tuki


VAHTI ohjeistoVAHTI ohjeisto

Valtiovarainministeriö ohjaa valtionhallinnon tietoturvallisuustoimintaa.

Valtionhallinnon tietoturvaohjeistot käsittelevät tietoturvallisuuden erilaisia osa-alueita laajasti ja kattavasti.

Ohjeistoa kehittää valtionhallinnon tietoturvallisuuden johtoryhmä, johon kuuluu tietoturva-asiantuntijoita eri hallinnonaloilta.

Net: www.vm.fi/vahti-ohjeet


VAHTI, tietoturvallisuuden osaVAHTI, tietoturvallisuuden osa--alueetalueet

Tietoturvallisuus on välttämätön edellytys tehokkaiden sovellusten toteuttamiseksi sekä laillisten velvoitteiden täyttämiseksi.

VAHTI-ohjeisto jakaa tietoturvallisuuden seuraaviin kahdeksaan osa-alueeseen:

hallinnollinen turvallisuus, henkilöstöturvallisuus, fyysinen turvallisuus, tietoliikenneturvallisuus, laitteistoturvallisuus,ohjelmistoturvallisuus, tietoaineistoturvallisuus jakäyttöturvallisuus


ErErääititää VAHTIVAHTI--ohjeitaohjeita

Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa (7/2003)Opas julkishallinnon tietoturvakoulutuksen järjestämisestä (6/2003) mukana CDKäyttäjän tietoturvaohje (5/2003 *)Valtionhallinnon tietoturvakäsitteistö(4/2003)Tietoturvallisuuden hallintajärjestelmän arviointisuositus (3/2003)

*) saatavissa englanniksi ja ruotsiksi*) saatavissa englanniksi ja ruotsiksi


VAHTIVAHTI--ohjeidenohjeiden jakelujakelu

Voimassa oleva ohjeet on saatavilla verkkosivuiltaPaperipainokset saatavissa ValtiovarainministeriöstäCD jakelu vain valtionhallinnossa


VAHTIVAHTI--ohjeidenohjeiden kohderyhmkohderyhmää

Ensisijainen kohderyhmä on Suomen valtionhallintoTietoturvaosaamisen vaatimustaso vaihtelee eri lukijaryhmille

Osa aiheista on suunnattuorganisaation johdolle ja tietohallinnolleturvallisuuspäälliköille ja turvallisuudesta vastaavilletietoturvallisuuden asiantuntijoille ja teknikoilletietojärjestelmien käyttäjille ja tietojen käsittelijöillekoko henkilökunnalle

Ohjeistoa on mahdollista soveltaa myös kuntasektorilla ja yritystoiminnassaopetuskäyttöön


Erilaisia arviointiperiaatteitaErilaisia arviointiperiaatteita

Tietoturvallisuutta voidaan arvioida erilaisista näkökulmista

järjestelmien tekninen tietoturvallisuus palvelimet, keskustietokoneet, verkkorajapinnat jne.

tietoturvallisuuden johtamisjärjestelmätieto- ja viestintäjärjestelmien (tivi-järjestelmien) projektinhallintajärjestelmäkomponenttien toteuttaminen tuotteiden tai palveluiden turvallisuusominaisuudet tai suojamekanismit


Itse arviointiItse arviointi

Voidaan perustaa VAHTI-ohjeisiin

Tietoturvallisuuden hallintajärjestelmän arviointisuositus (3/2003)Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa (7/2003)

Molemmissa ohjeissa on esimerkkejä

tarkistuslistoista, lomakkeista ja pöytäkirjoista


Itse arviointiItse arviointi

Tarvitaan asiantuntija johtamaan arviointihanke hankkeen kohdistaminen suunnitelma resurssien varaaminenaikataulutus suorittaminen raportointivaikutusten seuranta

Valitse menetelmValitse menetelmää

Suunnittele toimintaSuunnittele toiminta

Varaa resurssit Varaa resurssit

KiinnitKiinnitää aikatauluaikataulu

Tee arviointiTee arviointi

Raportoi havainnotRaportoi havainnot

Seu

raa

vaik

utu

ksia

Seu

raa

vaik

utu

ksia


KeskinKeskinääinen arviointiinen arviointi

Tarvitsee asiantuntijaryhmän hankkeen vetämiseenosakas jokaisesta osallistuvasta organisaatiostaosakkaiden intresseissä voi olla erojasamoin arvioinnin tavoitteissa

keskinäinen intressi parantaa luottamustalöytää heikkouksiaymmärtää vahvuuksiarakentaa osaavaa yhteistyötä arvioinnin kohteena olevalla osaamisalueella

Yhteisesti hyväksytty arviointiperusta menetelmä, ohjeisto, standardi


KeskinKeskinääinen arviointiinen arviointi

Kaksi osapuolta, yksi kohdealue, yhteinen perusta

ToimintoToiminto

KumppaniKumppaniOrganisaatioOrganisaatio

OhjeistoOhjeisto

ArviointiArviointi


Riippumaton arviointiRiippumaton arviointi

Ulkoiset asiantuntijat suorittavat arvioinnin

Perustanaorganisaation oma tavoite tai yleinen toimintaohjeistolailliset tai liiketoiminnalliset velvoitteetstandardi

Organisaation sisäisen asiantuntemuksen tulee olla riittävän korkea tasoista

kontrolloimaan saadun arviointipalvelun laadukkuuttatoimimaan saatujen havaintojen mukaisesti



Voidaan käyttää rakentamaan aiemmin tuntemattomien osapuolten välistä luottamusta osoittamalla vastaavuus

kansallisiin tietoturvavaatimuksiinkansainvälisiin tietoturvallisuusalan standardeihinarvostettuun laatujärjestelmään

Eräitä normistojaBS 7799, ISO/IEC 17799:2000 (www.bsi-global.com)SSE-CMM, ISO/IEC 21827:2002 (www.sse-cmm.org)COBIT (www.isaca.org)ITIL (www.itil.org) VAHTI (www.vm.fi/vahti-ohjeet)



Riippumaton arvioija, kohdetoiminto, yleinen normi

ToimintoToiminto

OrganisaatioOrganisaatio

OhjeistoOhjeisto

ArvioijaArvioija

ArviointiArviointi


Turvallisuuden arviointiTurvallisuuden arviointi

Tietoturva-arviointi voidaan suorittaa samalla kun toimitetaan

organisaatioturvallisuuden arviointilaatujärjestelmän arviointisisäinen tarkastus

Arviointimenetelmää tulee tehostaa käyttämällätietoturvallisuuteen liittyviä tarkistuslistojatietoturvallisuuteen liittyviä kyselysarjojatietoturvallisuuteen liittyviä mittareita

Jo organisaatiossa työskentelevät tarkastajat voidaan valmentaa tietoturvatarkastajiksi

uusia ura vaihtoehtoja ja uusia projektiresursseja


EsimerkkejEsimerkkejää arviointien kestosta sekarviointien kestosta sekää ryhmryhmään kokoonpanostan kokoonpanosta

Teknisen tietoturvallisuuden itse arviointiKeskinäinen tietoturvallisuuden johtamisjärjestelmän arviointiRiippumaton BS 7799 vastaavuuden arviointi

Organisaation erOrganisaation erääiden toimintojen vastaavuus standardiin iden toimintojen vastaavuus standardiin 11--2 vuotta 2 vuotta 22--4 arvioijaa4 arvioijaa

TietojenkTietojenkääsittelyn laadun arviointi sittelyn laadun arviointi 22--4 kuukautta4 kuukautta22--4 arvioijaa4 arvioijaa

SisSisääverkkopalveluverkkopalvelu11--2 kuukautta2 kuukautta11--2 arvioijaa2 arvioijaa

*) numerot vaihtelevat tosiasiallisen *) numerot vaihtelevat tosiasiallisen hankkeen tyhankkeen työömmäääärrään mukaisestin mukaisesti


Teknisen tietoturvallisuuden itse arviointiTeknisen tietoturvallisuuden itse arviointi

Kohde: Paikallisverkon sisäverkkopalvelu

Ei-kriittinen, tuntien palvelukatkot työaikana siedettäviäSijaitsee luotetussa LAN segmentissä, joka on sisemmässäturva-alueessaJärjestelmässä on henkilöstön nimitietoja sekäorganisaation sisäistä tietoaToteutettu yleisesti käytetyllä tietokantamoottorilla ja selainkäyttöliittymällä

Arvioinnin tavoite:Paikallinen tietohallinto tarvitsee vankan ymmärryksen järjestelmän tietoturvaominaisuuksista



Arvioijaryhmä:Kokenut teknisen tietoturvallisuuden arvioija, sertifioitu ammattilainenTietoturvallisuuteen suuntautunut harjoittelija

Arviointihanke:Työkalun valinta, työsuunnitelma, tapaamiset paikallisen tietohallinnon kanssaTyökalujen ja –menetelmientutkimista Aikataulun kiinnittäminen ja tarvittavien lupien hankinta Varsinainen arviointi, yksi työpäiväRaportointiSeuraukset paikalliseen tietoverkkoarkkitehtuuriin



Muiden töiden ohella suoritettuna vaati kaksi kuukauttaVastaava uusi suoritus veisi valmisteluineen 3-5 työpäivää

LAN segmenttiLAN segmentti

Suodattava reititinSuodattava reititin

Intranet palveluIntranet palvelu

Paikalliset kPaikalliset kääyttyttääjjäätt

Intranet kIntranet kääyttyttääjjäätt

TeztaajaTeztaaja



Tulokset:Parempi ymmärrys teknisestä ympäristöstäKäytössä olevien turvamenetelmien toimivuuden testaus Tuore riskitason arvio

Testityökalut koottu kannettavalle työasemalleHarjaantunut henkilöstö suorittamaan vastaavaa uutta arviointia


KeskinKeskinääinen tietoturvallisuuden johtamisjinen tietoturvallisuuden johtamisjäärjestelmrjestelmään arviointin arviointi

Kohde: WAN verkkopalvelun tietoturvallisuuden hallintamenettelyt

Kriittinen – ennakoimattomia palvelukatkoja ei saa ollaVerkkopalveluita käytetään useista toimipisteistäAsiakkaan tietojen käsittelytavat on analysoitavaPerustana kansallinen tietoturvaohjeisto

Arvioinnin tavoite:Luottamuksen ylläpito ja vahvistaminen asiakkaiden ja palvelun tarjoajan välillä



Arvioijaryhmä:Kaksi kokenutta arviointiryhmän johtajaa, joilla molemmilla ammattitaitosertifikaattejaLiiketoiminnan asiantuntijoita sekä turvallisuusasiantuntijoita, joista osalla ammattitaitosertifikaatteja

Arviointihanke:Menetelmän valinta, suunnittelu, työryhmäkokouksetLomakesarjan ja raporttipohjan sovittaminenAikataulun kiinnitys sekä tarvittavien lupien hankintaArviointi, yksi työpäivä toimipistettä kohden, 2-6 arvioijaaArvioinnin jälkeiset palautekeskustelut, raportointiTurvallisuuskulttuurin ymmärtäminenEhdotuksia tietoturvallisuuden kehittämiseen



Lomake- ja raporttimalli sovitettu VAHTI-ohjeista

TietoturvapolitiikkaTietoturvapolitiikkaTurvallisuuskTurvallisuuskääsikirjasikirjaKKääyttyttääjjään tietoturvakn tietoturvakääsikirjasikirjaLiiketoiminnan Liiketoiminnan jatkuvuussuunnitelmajatkuvuussuunnitelma::



Työ vaati 4 kuukautta, useita arviointivierailujaYksi tietoturva-asiantuntija koko hankkeen ohjaajanaYksi tietoturva-asiantuntija toisen arviointiryhmän johtajana10 asiakkaan ja 10 palvelun tarjoajan asiantuntijaa 1-2 kuukautta osa-aikaisesti hankkeessa

Seu

raa

jatk

oto

imen

pitei

tSeu

raa

jatk

oto

imen

pitei

t ääRaportoi havainnotRaportoi havainnot

KiinnitKiinnitää aikataulu aikataulu

Tee arvioinnitTee arvioinnit

Varaa resurssit Varaa resurssit

Suunnittele toiminta, tuota lomakkeetSuunnittele toiminta, tuota lomakkeet

MenetelmMenetelmään valintan valinta


Riippumaton BS 7799 vastaavuuden arviointiRiippumaton BS 7799 vastaavuuden arviointi

Organisaation nimettyjen toimintojen arviointi BS 7799 vastaavuuden suhteen

Verkkopalvelu Nimettyjen yksiköiden tietojenkäsittely

1-2 vuotta tarvittavan osaamistason saavuttamiseen Osaamisen lähtötaso vaikuttaa hankkeen kestoonVoi vaatia useita vuosia

2-4 asiantuntijaa organisaation sisältäUlkoisten asiantuntijoiden käyttö erityistehtävissäVarsinaisen standardia vastaan auditoinnin suorittaa sertifiointipalvelun tarjoaja



Suomessa BS 7799 auditointipalvelua tarjoaaSFS-sertifiointi oy (www.sfs-sertifiointi.fi)

Sertifiointi BS 7799 suomennosta vastaanBS 7799-1:fi Tietoturvallisuuden hallinta. Osa 1: Tietoturvallisuuden hallintajärjestelmiä koskeva menettelyohje (Information security management. Part1: Code of practice for information securitymanagement, confirmed 2000-03-27 )BS 7799-2:fi Tietoturvallisuuden hallintajärjestelmät. Vaatimukset ja soveltamisohjeet (Information securitymanagement. Specification with guidance for use, confirmed 2003-03-31)



Eräitähallinnonsertifikaatin haltijoita:

Väestörekisterikeskus, www.vaestorekisterikeskus.fi

Väestökirjanpidon kehittäminen, tekninen ylläpito ja ohjaus sekä henkilön sähköiseen tunnistamiseen liittyvän varmennepalvelutoiminnan kehittäminen.

Toijalan kaupungin terveyskeskus Toijala,www.toijala.fi

Terveyskeskuksen toiminta lukuunottamattapäiväsairaalaa.


Tietoturvallisuuden laadun mittaaminenTietoturvallisuuden laadun mittaaminen

Vahinkojen lukumääräVirus havainnotPalomuurin suodatus Roskapostin suodatus Tietoturvakoulutuksen koulutuspäivät tai opetustunnitTietoturvaohjeiston kattavuus ja asianmukaisuusTietoturvatoiminnan kustannuksetTietoturvallisuuteen liittyvät työtunnit tai henkilötyöpäivät


Tietoturvavahinkojen lukumTietoturvavahinkojen lukumäääärrään mittaaminenn mittaaminen

Raportointijärjestelmän tulee määritellä asialliset vahinkoluokat

Vakava tietovahinko – kirjallinen vahinkoselvitysRikostutkinta – rikosilmoitusMerkittävä tietovahinko– kirjataan ylös

Sovelletaan tietoriskien kuvaamiseen käytettyjä periaatteitaVakava riski – vakava tietovahinko Merkittävä riski - merkittävä tietovahinko Hyväksyttävä riski - hyväksyttävä tietovahinko

*) Vahinkojen mittarointi ei ole tiedettä, käytännöllinen tulos riittää


A, LamauttajaB, PysäyttäjäC, KiusaajaD, SiedettäväE, Normaali

toiminta

Vahinkojen Vahinkojen mittarointimittarointi

AABB

CCDDEEtaajuus harva taajuus tihetaajuus harva taajuus tiheää

lam

au

ttaa t

oim

inn

an

lam

au

ttaa t

oim

inn

an



Erilaisia tapahtumia erilaisista vahinkoluokista

A, LamauttajaHaittakoodi-epidemia villinä sisäverkossa

B, PysäyttäjäVerkkopalvelun tilapäinen katkeaminen

C, KiusaajaJatkuva virta tilaamatonta aineistoa työasemalle verkkosamoilun sivuvaikutuksena

D, SiedettäväKulunvalvonnan alaisessa toimistossa asiakirjat jäävät työpisteen työpöydälle

E, Normaali toimintaSähköpostin luku, paikallisten toimistosovellusten käyttö



Vahinkoluokat tulee kuvata metriikan käyttöönottoa varten

Kuvaukset liiketoimintaympäristön kannalta tarkoituksen mukaisilla käsitteillä ja sanastollaTavoitteena helpottaa raportointia

“Kuinka kirjaan tämän vahingon oikein?”



A luokan tietovahingotVahinko on varsin varmasti odotettavissa tarkastelujaksolla jaraskas liiketoiminnallinen tappio on vääjäämätön kun tällainen vahinko kohtaa organisaation.

B luokan tietovahingotVahinko tuskin tapahtuu tarkastelujakson aikana.Vahinko haittaisi liiketoimintaa ja aiheuttaisi suurta tappiota.

C luokan tietovahingotVahinko mitä ilmeisemmin tapahtuu, se on odotettavissa.Liiketoiminta jatkuu vahingon aiheuttamasta häiriöstähuolimatta.Tällaisia vahinkoja sattuu taajaan javahinkojen seurausten hallinta kuluttaa tietoturvaresursseja.



D luokan tietovahingotTällaisia häiriöitä tietoturvallisuudelle sattuu aina silloin tällöin.Liiketoiminnallinen vaikutus on pieni tai häviävä.Häiriön vaikutus normaaliin toimintaan on siedettävä.

E luokka, normaali toimintaHäiriötön organisaation toimintaHyvä arkipäivä



Vahinkojen mittaaminen on houkuttelevaa, muttaniiden perustalta tehtävissä trendianalyyseissä on oltava varovainen.

Mitä tehokkaampi ja kattavampi organisaation raportointijärjestelmä on - ja mitä kypsempi turvallisuuskulttuuri organisaatiossa vallitseeniin sitä enemmän vahinkoilmoituksia on odotettavissa.


Suodatinten Suodatinten mittarointimittarointi

Virusten suodatusPaljonko viruksia havaitaan / estetään

Palomuurin suodatusKuinka monta ja millaisen protokollan tietoliikennetapahtumaa estetään

Roskapostin suodatusKuinka monta viestiä estetään sisäänpäin / ulospäin

Ymmärrettävää, mitattavaa, hienoa bisnesgrafiikkaaOta mukaan myös ylläpidon tietoliikennetilastoja

Kuinka usein suodatin päivitetään Normaalien tietoliikennemäärien avulla saadaan prosentteja


Suodatinten Suodatinten mittarointimittarointi –– LiikennemLiikennemäääärrää

Virus X torjuttu

Liero Z torjuttu

Muu häiriöliikenne

Liiketoiminnanhyötyliikenne

*) mutta tied*) mutta tiedäätktköö mitmitää liikennettliikennettää sissisääverkossa todella liikkuu?verkossa todella liikkuu?


Suodatinten Suodatinten mittarointimittarointi –– TrendianalyysiTrendianalyysi

0102030405060708090

100

Q1 Q2 Q3 Q4

LiiketoiminnanhyötyliikenneVerkkosamoilu

Estetty häiriöliikenne

*) kuvaa sit*) kuvaa sitää millaisesta tietoliikenteestmillaisesta tietoliikenteestääorganisaatio on maksanut viime aikoinaorganisaatio on maksanut viime aikoina


TietoturvakoulutusTietoturvakoulutus

Koulutettavapäivien tai opiskelutuntien määrä½ päivän seminaari tarjolla seurantakaudella2 oppituntia X 30 osallistujaa seurantakaudella tekee1 ½ opintoviikkoa

Turvallisuuskoulutuksen kattavuus 700 osallistujaa tietoturvakoulutustilaisuuksiin seurantakaudella tekee 7% 10’000 hengen organisaatiossa

Voidaan erikseen seurata myös Ammatillista koulutusta, oppilaitosten kurssien suorittamista, verkkokurssien läpikäyntiäPalvelu- ja ratkaisutoimittajien seminaareja ja tietoiskujaOmia räätälöityjä tietoturvakoulutustilaisuuksia


TietoturvakoulutusTietoturvakoulutus

Osasto Päiväys Kesto Osallistujat Opintotunnit

Web 11.3.

8.1.

13.1.

4.2.

Q1

1 ½ t 30 45 t

Terveys 1 t 80 80 t

Sidosryhmä 1 ½ t 30 45 t

Kehittäjät 2 t 10 20 t

YHTEENSÄ 6 t =1 kurssi-päivä

150 oppilasta 190 t =4 ¾ opinto-viikkoa


Tietoturvaohjeiston kattavuus ja asianmukaisuusTietoturvaohjeiston kattavuus ja asianmukaisuus

Suhteessa yleisiin hyviin tietoturvallisuuden hallintatapoihin tai standardeihin

Tietoturvapolitiikka Turvallisuuskäsikirja Käyttäjän tietoturvaohjeLiiketoiminnan jatkuvuussuunnitelma:

Myös dokumentaation laatua voidaan mitataVersiointi, muutosten jäljitettävyysKattavuus, ajankohtaisesti asianmukaisuus Saatavuus organisaatiossa, jakelumenetelmä:



Tietoturvapolitiikka

Päivitetään kerran vuodessaTalletettu versionhallintaanMuodollisesti hyväksytty

Käyttäjän tietoturvaohje

Päivitetään kerran vuodessaTalletettu versionhallintaan

Muodollisesti hyväksytty

Saatavilla kaikissa työpisteissä

:



Jos dokumentaation laatutavoite on asetettuetukäteenstandardia tai tunnettua hyvää tietoturvatapaa soveltaen

niin suoritus on mitattavissa.

Esim.60% tietoturvallisuuden hallintajärjestelmän asiakirjoista on muodollisesti hyväksytty.90% tietoturvallisuuden hallintajärjestelmän asiakirjoista on talletettu versionhallintajärjestelmään.Kaikki tietoturvallisuuden hallintajärjestelmän asiakirjat ovat saatavissa sisäverkkosivun tietoturvakansiosta.


Tietoturvatoiminnan kustannuksetTietoturvatoiminnan kustannukset

ProjektitLöytyy paikallisesta projektinhallintajärjestelmästäLaiteinvestoinnit, palvelumaksut, projektien palkat

HankinnatUlkoistetut tietoturvapalvelut

Palomuuriasennus, auditoinnit, konsultointiJärjestelmä- tai laitehankinnat

Tunkeutumisen esto/havainnointijärjestelmäHaittaohjelman torjuntajärjestelmä laitteineenSalakirjoitusohjelmistoAsiointikortti, henkilökortti, turvapoletti

Tietoturvatoimintaan osallistuvan henkilöstön palkkakulut



Tietoturvakustannukset tulee budjetoidatietoturvallisuuden omalle kustannuspaikalle taisisällyttää näkyväksi osaksi toimintojen kustannuksia.

Toimintojen budjetteihin sisällytetty tietoturvabudjetti voi olla vaikea kohdentaa tehokkaasti

Tietoturvakustannusten näkyvyys auttaa saavuttamaan halutun tietoturvavaikutuksen

Minne tietoturvabudjetti menee?Mitä organisaatio saa tietoturvainvestointiensa vastineeksi?Paljonko tietoturva maksaa seurantakaudessa tai vuodessa?



Hankinta (sijoitus) Ajoitus Budjetti Vastuu

Salakirjoitusohjelmisto 100 työasemalle

Tammikuu 5’500 € Tekninen asiakastuki

Palomuurin asennus, ulkoinen asiantuntija

Helmikuu 1’000 € Verkkopalvelut

Asiointikortit turvapostia varten, 20 korttia

Maaliskuu 800 € Henkilöstöhallinto

YHTEENSÄ Q1 7’300 €

*) sulautetut kulut voi olla vaikea *) sulautetut kulut voi olla vaikea perustella johdolleperustella johdolle


Tietoturvallisuuteen liittyvTietoturvallisuuteen liittyvää tytyööpanospanos

Montako organisaation omaa tietoturva-ammattilaistaKokopäiväisessä työsuhteessaOsa-aikaisesti, oman toimen ohella

Ulkopuoliset tietoturva-asiantuntijatKonsulttipäivätTukitunnitProjektitunnit

Tietoturvatoimintaan liittyvät työryhmätTyöryhmien määräTyöryhmien toimintaan panostetut työtunnit Sisäiset johtoryhmät, ohjausryhmät, työryhmätUlkoiset asiantuntijaryhmät



Tehtävä Tietoturva-päällikkö

Tietoturva-suunnittelija

Tietoturva-teknikko

Tietoturva-päivä, koulutus

4 päivää 2 päivää 1 päivää

Tekninen tietoturva-auditointi


Kertakirjaus-järjestelmä-hankkeen –projektitehtävät


YHTEENSÄ2 henkilötyö-kuukautta




Tuntikirjanpidossa tai projektihallinnassa

omat koodit tietoturvatehtäville

”Kriisinhallintaryhmä”, ”Tietovahingon selvitystyö””Ylläpito”, ”Palomuurin ylläpito””Koulutus”, ”Tietoturvatietoisuuden lisääminen””Sisäinen tarkastus”, ”Tietoturva-arvioinnit”


BSC (BSC (balancedbalanced scorescore cardcard) ) --menetelmmenetelmää

Tasapainotettu arviointi (BSC) –menetelmän soveltamisesta poliisihallinnossa on julkaistu

”Tasapainotettu arviointi (BSC) poliisiyksikön toiminnan ohjausvälineenä - kokemuksia ja havaintoja”Poliisiosaston julkaisut 9/2002 ”Tasapainotettu arviointi (BSC) poliisitoiminnan strategisen ohjauksen ja arvioinnin välineenä”Poliisiosaston julkaisut 14/2001“The BSC for the Finnish Police”Poliisiosaston julkaisut 14/2002

Net: www.poliisi.fi/julkaisut


BSC (BSC (balancedbalanced scorescore cardcard) ) --menetelmmenetelmää

BSC–menetelmää on sovellettu myös poliisin tietohallinnon ohjauksessa

BSC metriikat tietoturvallisuudelle on kehitetty yhteistyössä

laatuasiantuntijoiden,tietoturva-asiantuntijoiden,tietohallinnon asiantuntijoiden japoliisin ylijohdon

kesken.


EFQMEFQM--mallimalli

Poliisin laatutoiminnasta on julkaistu”Laatu poliisitoiminnassa. Poliisitoiminnan laadun itsearviointi EFQM-mallin avulla”Poliisiosaston julkaisut 1/2003

Net: www.poliisi.fi/julkaisut


EFQMEFQM--mallimalli

Julkishallinnossa käytetään laajasti Euroopan laatupalkinnon normistoa (EFQM)Sen avulla voidaan parantaa yhteistyötä ja vertailtavuutta muiden organisaatioiden kanssa.Poliisin laadunkehittämisen tarkoituksena on

poliisiorganisaation saaminen toimimaan entistäparemmin siten, ettäkansalaiset välittöminä asiakkaina ja koko ympäröiväyhteiskunta voivat olla tyytyväisiä ja ettähenkilöstön hyvinvointi ja tyytyväisyys varmistetaan.

Luottamus poliisiin on hyvällä tasolla ja sen säilyminen voidaan varmistaa olemalla valmiina jatkuvasti kehittämään laatua ja tuloksellisuutta.


VAHTIVAHTI--ohjeetohjeet, Tietoturvallisuus ja tulosohjaus, VAHTI 2/2004, Tietoturvallisuus ja tulosohjaus, VAHTI 2/2004

Tässä suosituksessa on tiiviisti esitetty tietoturvallisuuden kehittämisen keskeiset periaatteet ja niiden yhteys

tulosohjaukseen virastojen johtamiseen sekätoiminnan arviointiin.

Suosituksessa tietoturvallisuutta ja tietohallintoa tarkastellaan osana

virastojen ja laitosten johtamista,palvelujen tuottamista ja laadunhallintaa.


Johdon tukiJohdon tuki

Organisaation ylimmän johdon näkyvä tuki on välttämätönresurssien saamiseksi tuloksen tekemiseksi

Pidä johto ajan tasalla Viikoittaiset tilannekatsauksetKuukausiraportit Neljännesvuosittaiset analyysit Vuosikertomukset Nopeat tilannekohtaiset tietovahinkoraportit


YhteenvetoYhteenveto

Tietoturvallisuustoiminnan laatu on mitattavissa teknisen tietoturvallisuuden osalta tietoturvahallinnon osalta

Metriikat on suunniteltava linjassa organisaation strategisen tavoitteen kanssa (visio)täyttämään yleisesti käytössä olevat tietoturvavaatimukset, standardi tai menettelytapaohjeistoyhteistyössä kaikkien osapuolten kanssa

Menestyminen tietoturvatyössä vaatiiylimmän johdon sitoutumistajoka on mahdollista saavuttaa tarkoituksenmukaisella ja liiketoiminnan kannalta hyödyllisellä raportoinnilla


Aikaa keskustelulleAikaa keskustelulle


LukemistaLukemista

Valtioneuvoston turvallisuus- ja puolustuspoliittinen selonteko 24.9.2004Net: www.valtioneuvosto.fi

Arjen turvaa - sisäisen turvallisuuden ohjelma Sisäasiainministeriön julkaisut 44/2004Net: www.intermin.fi/sisainenturvallisuus

VAHTI-ohjeetValtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI), 1997-2004, noin 30 asiakirjaa suomeksi, ruotsiksi ja englanniksiNet: www.vm.fi/vahti-ohjeet


LukemistaLukemista

Valtion tietohallinnon ohjaus ja organisointiValtioneuvoston kanslian raportteja 6/2004, sekäValtioneuvoston tiedotusyksikön tiedote 311/2004, 5.10.2004Net: www.vnk.fi

Yhteiskunnan elintärkeiden toimintojen turvaamisen strategiaPuolustusministeriön julkaisujaNet: www.defmin.fi

2005 poliisin tietohallintokeskus - tietoturvallisuuden … · 2016. 8. 31. · 2005 poliisin...

Documents