kimmo rousku: tori – tietoturva, varautuminen ja riskienhallinta
DESCRIPTION
Valtiokonttori, Valtion IT-palvelukeskuksen asiakaspäivä 16.10.2013: TORI – tietoturva, varautuminen ja riskienhallinta - Apulaisjohtaja Kimmo Rousku, Valtiokonttori, Valtion IT-palvelukeskusTRANSCRIPT
TORI – riskienhallinta, tietoturvallisuus ja varautuminen
Apulaisjohtaja Kimmo Rousku, Valtiokonttori, Valtion IT-palvelukeskus / TORI-suunnitteluryhmä, riskienhallinta ja tietoturvallisuus
14.11.2011
Esitykseni
Hallituksen esitys Hallituksen esitys eduskunnalle laeiksi
valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä
TORI:n käynnistyminen vs. ”as is” -malli Jatkokehittäminen - toimintojen
yhtenäistäminen 16.10.2013
14.11.2011
Visio sekä hallituksen esitys Valtion toimialariippumattomat ICT-palvelut
ovat kilpailukykyisiä, laadukkaita, ekologisia, tietoturvallisia ja asiakastarpeet täyttäviä http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirja
t/03_muut_asiakirjat/20130417Luonno/01_TORI_Liiketoimintasuunnitelma_v0.91.pdf
16.10.2013
14.11.2011
Hallituksen esitys Riskinä on todettu myös tietoturvallisuuden ja
varautumisen toteuttaminen vaadituilla tasoilla. Nykytilassa kaikki virastot eivät saavuta tietoturvan ja varautumisen vaatimusten tasoa vuoden 2013 aikana. Tarkoituksena on, että perustettava palvelukeskus toteuttaa kokonaisarkkitehtuurinsa siten, että tietoturvan haasteisiin pystytään vastaamaan. Keskittämällä tietoturvan ja varautumisen osaaminen, hallinta ja tekniikat saavutetaan nykyistä hajautettua mallia merkittävästi parempi tietoturvan ja varautumisen taso.
16.10.2013
14.11.2011
Hallituksen esitys
Yhteisten palvelujen on noudatettava valtion tietohallinnon kokonaisarkki-tehtuuria ja yhteentoimivuuden kuvauksia ja määrityksiä ja niiden on täytettävä tarpeen mukaiset tietoturvallisuutta ja varautumista koskevat vaatimukset. Esimerkiksi TTA 681/2010, tietoturvatasot
sekä ICT-varautumisen vaatimukset
16.10.2013
14.11.2011
Hallituksen esitys Palvelut ovat käyttäjäystävällisiä ja palvelut
ovat tietoturvallisia ja toteuttavat varautumiselle asetettavat vaatimukset. Palvelujen tietoturvallisuus voitaisiin arvioida ja todentaa tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annetun lain (1406/2011) ja valtionhallinnon tietoturvallisuudesta annetun asetuksen (681/2010) mukaisesti.
16.10.2013
14.11.2011
Hallituksen esitys Tarkoitus on, että ehdotetun lain 5 §:ssä
tarkoitettuun palvelukeskukseen kootaan valtionhallinnon perustason sekä korotetun ja korkean tietoturvan ja varautumisen tason toimialariippumattomat ICT-tehtävät pois lukien ne tehtävät, jotka julkisen hallinnon turvallisuusverkkotoimintaa koskevan lain mukaan olisivat valtion kokonaan omistaman Suomen Erillisverkot Oy:n tehtävänä.
16.10.2013
14.11.2011
Käynnistyminen vs. ”as is”-malli
Riskienhallinnan, tietoturvallisuuden ja varautumisen osalta: Osa on ”as is” –työtä eli edetään kuten tähän
saakka ja osa on 1.1.2014 aikataululla toteutettavia asioita:
1.1.2014 Uusi virasto aloittaa toimintansa ja viraston johdolla
on vastuu sen toiminnasta Priorisoidaan siten, että tällöin tarvittavat pakolliset
toimintamallit, ohjeet ja viestintä ovat toiminnassa
16.10.2013
14.11.2011
Käynnistyminen vs. ”as is”-malli
16.10.2013
6. Tietoturval-lisuus
7. Valmius- ja jatkuvuus-suunnittelu
8. Riskien-hallinta ja
raportointi
3. Pelastus-toiminta
1. Henkilö- ja 2. Tilaturvalli-
suus
1.1.2014 uuden viraston aloittaessa toiminnassa oltavat prosessit ja ohjeistukset
V 2014 – 2015 toimintojen yhtenäistäminen
4. Rikos-turvallisuus
5. Työ-turvallisuus
Vaatimustenmukaisuus Kyberturvallisuus
Vaatimustenmukaisuuden täyttäminen
14.11.2011
Käynnistyminen vs. ”as is”-malli
Perustamisvaihe syksy 2013 - Tietojen keruu ja suunnittelu käynnistämisen mahdollistamiseksi - Siirtoprojektien tietoturva-asioista huolehtiminen – turvallisuuskysely - Turvallisuus-ryhmän perustaminen - Riskienhallinta ja toimenpiteet riskien pienentämiseksi
Käynnistämisvaihe 1.1.2014 alkaen - Pakollisten toimintamallien toteuttaminen uuden viraston osalta - Toimintasiirtojen kehittäminen turvallisuuden osalta - Yhtenäistämisen suunnittelu - Riskienhallinta
Yhtenäistämisvaihe - jatkuva kehittäminen - Kehitetään ja parannetaan turvallisuus-toimintaa osana TORIn muuta toimintojen yhtenäistämistä ja toimintaprosessien kehittämistä - Riskienhallinta
16.10.2013
14.11.2011
Jatkokehittäminen
16.10.2013
14.11.2011
Vastuu teknologiasta siirtyy yhä enemmän TORI:lle
16.10.2013
Virastot tuottavat nyt itse tai ulkoistettuna: X kertaa työasemapalvelut * tietoliikenne- ja lähiverkkopalvelut * palvelinten käyttöpalvelut * viestintäratkaisut * toimisto-ohjelmistot * tietoturvatuotteet * XYZ Montako eri yhdistelmää? Yhteentoimivuus? Palvelutasot? Tietoturvallisuuden ja varautumisen taso? Hallinta? Raportointi? Kustannustehokkuus?
Tietoliikenne
Käyttöpalvelu
Työasema
Tukipalvelut
Tietoturva
Tietoliikenne
Käyttöpalvelu
Työasema
Tukipalvelut
Tietoturva
Tietoliikenne
Käyttöpalvelu
Työasema
Tukipalvelut
Tietoturva
Tietoliikenne
Käyttöpalvelu
Työasema
Tukipalvelut
Tietoturva
Päätelaite
Tietoliikenne
Käyttöpalvelu
Tukipalvelut
Tietoturva
XYZ
14.11.2011
Kiitos! TORI-hanke, valtiovarainministeriö, JulkICT-toiminto www.vm.fi/tori tori(at)vm.fi
Riskienhallinta, turvallisuus Kimmo Rousku 050 566 2986 [email protected]
Projektijohtajat Hankepäällikkö, Sari-Anne Hannula (sari-anne.hannula(at)vm.fi, puh. 040 529 753) Kari Pessi (kari.pessi(at)vm.fi, puh. 040 770 9689)
Projektiassistentti Tiia Jalonen (tiia.jalonen(at)vm.fi, puh. 050 375 9640)
16.10.2013