TORI – riskienhallinta, tietoturvallisuus ja varautuminen

Apulaisjohtaja Kimmo Rousku, Valtiokonttori, Valtion IT-palvelukeskus / TORI-suunnitteluryhmä, riskienhallinta ja tietoturvallisuus

14.11.2011

Esitykseni

Hallituksen esitys Hallituksen esitys eduskunnalle laeiksi

valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

TORI:n käynnistyminen vs. ”as is” -malli Jatkokehittäminen - toimintojen

yhtenäistäminen 16.10.2013

14.11.2011

Visio sekä hallituksen esitys Valtion toimialariippumattomat ICT-palvelut

ovat kilpailukykyisiä, laadukkaita, ekologisia, tietoturvallisia ja asiakastarpeet täyttäviä http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirja

t/03_muut_asiakirjat/20130417Luonno/01_TORI_Liiketoimintasuunnitelma_v0.91.pdf

16.10.2013

14.11.2011

Hallituksen esitys Riskinä on todettu myös tietoturvallisuuden ja

varautumisen toteuttaminen vaadituilla tasoilla. Nykytilassa kaikki virastot eivät saavuta tietoturvan ja varautumisen vaatimusten tasoa vuoden 2013 aikana. Tarkoituksena on, että perustettava palvelukeskus toteuttaa kokonaisarkkitehtuurinsa siten, että tietoturvan haasteisiin pystytään vastaamaan. Keskittämällä tietoturvan ja varautumisen osaaminen, hallinta ja tekniikat saavutetaan nykyistä hajautettua mallia merkittävästi parempi tietoturvan ja varautumisen taso.

16.10.2013

14.11.2011

Hallituksen esitys

Yhteisten palvelujen on noudatettava valtion tietohallinnon kokonaisarkki-tehtuuria ja yhteentoimivuuden kuvauksia ja määrityksiä ja niiden on täytettävä tarpeen mukaiset tietoturvallisuutta ja varautumista koskevat vaatimukset. Esimerkiksi TTA 681/2010, tietoturvatasot

sekä ICT-varautumisen vaatimukset

16.10.2013

14.11.2011

Hallituksen esitys Palvelut ovat käyttäjäystävällisiä ja palvelut

ovat tietoturvallisia ja toteuttavat varautumiselle asetettavat vaatimukset. Palvelujen tietoturvallisuus voitaisiin arvioida ja todentaa tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annetun lain (1406/2011) ja valtionhallinnon tietoturvallisuudesta annetun asetuksen (681/2010) mukaisesti.

16.10.2013

14.11.2011

Hallituksen esitys Tarkoitus on, että ehdotetun lain 5 §:ssä

tarkoitettuun palvelukeskukseen kootaan valtionhallinnon perustason sekä korotetun ja korkean tietoturvan ja varautumisen tason toimialariippumattomat ICT-tehtävät pois lukien ne tehtävät, jotka julkisen hallinnon turvallisuusverkkotoimintaa koskevan lain mukaan olisivat valtion kokonaan omistaman Suomen Erillisverkot Oy:n tehtävänä.

16.10.2013

14.11.2011

Käynnistyminen vs. ”as is”-malli

Riskienhallinnan, tietoturvallisuuden ja varautumisen osalta: Osa on ”as is” –työtä eli edetään kuten tähän

saakka ja osa on 1.1.2014 aikataululla toteutettavia asioita:

1.1.2014 Uusi virasto aloittaa toimintansa ja viraston johdolla

on vastuu sen toiminnasta Priorisoidaan siten, että tällöin tarvittavat pakolliset

toimintamallit, ohjeet ja viestintä ovat toiminnassa

16.10.2013

14.11.2011

Käynnistyminen vs. ”as is”-malli

16.10.2013

6. Tietoturval-lisuus

7. Valmius- ja jatkuvuus-suunnittelu

8. Riskien-hallinta ja

raportointi

3. Pelastus-toiminta

1. Henkilö- ja 2. Tilaturvalli-

suus

1.1.2014 uuden viraston aloittaessa toiminnassa oltavat prosessit ja ohjeistukset

V 2014 – 2015 toimintojen yhtenäistäminen

4. Rikos-turvallisuus

5. Työ-turvallisuus

Vaatimustenmukaisuus Kyberturvallisuus

Vaatimustenmukaisuuden täyttäminen

14.11.2011

Käynnistyminen vs. ”as is”-malli

Perustamisvaihe syksy 2013 - Tietojen keruu ja suunnittelu käynnistämisen mahdollistamiseksi - Siirtoprojektien tietoturva-asioista huolehtiminen – turvallisuuskysely - Turvallisuus-ryhmän perustaminen - Riskienhallinta ja toimenpiteet riskien pienentämiseksi

Käynnistämisvaihe 1.1.2014 alkaen - Pakollisten toimintamallien toteuttaminen uuden viraston osalta - Toimintasiirtojen kehittäminen turvallisuuden osalta - Yhtenäistämisen suunnittelu - Riskienhallinta

Yhtenäistämisvaihe - jatkuva kehittäminen - Kehitetään ja parannetaan turvallisuus-toimintaa osana TORIn muuta toimintojen yhtenäistämistä ja toimintaprosessien kehittämistä - Riskienhallinta

16.10.2013

14.11.2011

Jatkokehittäminen

16.10.2013

14.11.2011

Vastuu teknologiasta siirtyy yhä enemmän TORI:lle

16.10.2013

Virastot tuottavat nyt itse tai ulkoistettuna: X kertaa työasemapalvelut * tietoliikenne- ja lähiverkkopalvelut * palvelinten käyttöpalvelut * viestintäratkaisut * toimisto-ohjelmistot * tietoturvatuotteet * XYZ Montako eri yhdistelmää? Yhteentoimivuus? Palvelutasot? Tietoturvallisuuden ja varautumisen taso? Hallinta? Raportointi? Kustannustehokkuus?

Tietoliikenne

Käyttöpalvelu

Työasema

Tukipalvelut

Tietoturva

Tietoliikenne

Käyttöpalvelu

Työasema

Tukipalvelut

Tietoturva

Tietoliikenne

Käyttöpalvelu

Työasema

Tukipalvelut

Tietoturva

Tietoliikenne

Käyttöpalvelu

Työasema

Tukipalvelut

Tietoturva

Päätelaite

Tietoliikenne

Käyttöpalvelu

Tukipalvelut

Tietoturva

XYZ

14.11.2011

Kiitos! TORI-hanke, valtiovarainministeriö, JulkICT-toiminto www.vm.fi/tori tori(at)vm.fi

Riskienhallinta, turvallisuus Kimmo Rousku 050 566 2986 kimmo.rousku@valtiokonttori.fi

Projektijohtajat Hankepäällikkö, Sari-Anne Hannula (sari-anne.hannula(at)vm.fi, puh. 040 529 753) Kari Pessi (kari.pessi(at)vm.fi, puh. 040 770 9689)

Projektiassistentti Tiia Jalonen (tiia.jalonen(at)vm.fi, puh. 050 375 9640)

16.10.2013