Valtiokonttori, Valtion IT-palvelukeskuksen asiakaspäivä 16.10.2013: TORI – tietoturva, varautuminen ja riskienhallinta - Apulaisjohtaja Kimmo Rousku, Valtiokonttori, Valtion IT-palvelukeskus

1. TORI – riskienhallinta, tietoturvallisuus
ja varautuminen
Apulaisjohtaja Kimmo Rousku, Valtiokonttori, Valtion IT-palvelukeskus /
TORI-suunnitteluryhmä, riskienhallinta ja tietoturvallisuus

2. Esitykseni
 Hallituksen esitys
 Hallituksen esitys eduskunnalle laeiksi
valtion yhteisten tieto- ja viestintäteknisten
palvelujen järjestämisestä
 TORI:n käynnistyminen vs. ”as is” -malli
 Jatkokehittäminen - toimintojen
yhtenäistäminen
14.11.2011
16.10.2013

3.  Visio sekä hallituksen esitys
 Valtion toimialariippumattomat ICT-palvelut
ovat kilpailukykyisiä, laadukkaita, ekologisia,
tietoturvallisia ja asiakastarpeet täyttäviä
 http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirja
t/03_muut_asiakirjat/20130417Luonno/01_TO
RI_Liiketoimintasuunnitelma_v0.91.pdf
14.11.2011
16.10.2013

4. Hallituksen esitys
 Riskinä on todettu myös tietoturvallisuuden ja
varautumisen toteuttaminen vaadituilla tasoilla.
Nykytilassa kaikki virastot eivät saavuta tietoturvan ja
varautumisen vaatimusten tasoa vuoden 2013 aikana.
Tarkoituksena on, että perustettava palvelukeskus
toteuttaa kokonaisarkkitehtuurinsa siten, että
tietoturvan haasteisiin pystytään vastaamaan.
Keskittämällä tietoturvan ja varautumisen osaaminen,
hallinta ja tekniikat saavutetaan nykyistä hajautettua
mallia merkittävästi parempi tietoturvan ja
varautumisen taso.
14.11.2011
16.10.2013

5. Hallituksen esitys
 Yhteisten palvelujen on noudatettava
valtion tietohallinnon kokonaisarkkitehtuuria ja yhteentoimivuuden
kuvauksia ja määrityksiä ja niiden on
täytettävä tarpeen mukaiset
tietoturvallisuutta ja varautumista
koskevat vaatimukset.
 Esimerkiksi TTA 681/2010, tietoturvatasot
sekä ICT-varautumisen vaatimukset
14.11.2011
16.10.2013

6. Hallituksen esitys
 Palvelut ovat käyttäjäystävällisiä ja palvelut
ovat tietoturvallisia ja toteuttavat
varautumiselle asetettavat vaatimukset.
Palvelujen tietoturvallisuus voitaisiin arvioida ja
todentaa tietojärjestelmien ja
tietoliikennejärjestelyjen arvioinnista annetun
lain (1406/2011) ja valtionhallinnon
tietoturvallisuudesta annetun asetuksen
(681/2010) mukaisesti.
14.11.2011
16.10.2013

7. Hallituksen esitys
 Tarkoitus on, että ehdotetun lain 5 §:ssä
tarkoitettuun palvelukeskukseen kootaan
valtionhallinnon perustason sekä korotetun ja
korkean tietoturvan ja varautumisen tason
toimialariippumattomat ICT-tehtävät pois
lukien ne tehtävät, jotka julkisen hallinnon
turvallisuusverkkotoimintaa koskevan lain
mukaan olisivat valtion kokonaan omistaman
Suomen Erillisverkot Oy:n tehtävänä.
14.11.2011
16.10.2013

8. Käynnistyminen vs. ”as is”-malli
 Riskienhallinnan, tietoturvallisuuden ja
varautumisen osalta:
 Osa on ”as is” –työtä eli edetään kuten tähän
saakka ja osa on 1.1.2014 aikataululla
toteutettavia asioita:
 1.1.2014
 Uusi virasto aloittaa toimintansa ja viraston johdolla
on vastuu sen toiminnasta
 Priorisoidaan siten, että tällöin tarvittavat pakolliset
toimintamallit, ohjeet ja viestintä ovat toiminnassa
14.11.2011 16.10.
2013

9. Käynnistyminen vs. ”as is”-malli
1. Henkilö- ja
2. Tilaturvallisuus
3. Pelastustoiminta
5. Työturvallisuus
6. Tietoturvallisuus
7. Valmius- ja
jatkuvuussuunnittelu
8. Riskienhallinta ja
raportointi
Vaatimustenmukaisuus
Kyberturvallisuus
1.1.2014 uuden viraston aloittaessa toiminnassa oltavat prosessit ja ohjeistukset
V 2014 – 2015 toimintojen yhtenäistäminen
4. Rikosturvallisuus
Vaatimustenmukaisuuden täyttäminen
14.11.2011
16.10.2013

10. Käynnistyminen vs. ”as is”-malli
Perustamisvaihe syksy 2013
- Tietojen keruu ja suunnittelu
käynnistämisen
mahdollistamiseksi
- Siirtoprojektien tietoturvaasioista huolehtiminen –
turvallisuuskysely
- Turvallisuus-ryhmän
perustaminen
- Riskienhallinta ja toimenpiteet
riskien pienentämiseksi
Käynnistämisvaihe 1.1.2014
alkaen
- Pakollisten toimintamallien
toteuttaminen uuden viraston
osalta
- Toimintasiirtojen kehittäminen
turvallisuuden osalta
- Yhtenäistämisen suunnittelu
- Riskienhallinta
Yhtenäistämisvaihe - jatkuva
kehittäminen
- Kehitetään ja parannetaan
turvallisuus-toimintaa osana
TORIn muuta toimintojen
yhtenäistämistä ja
toimintaprosessien kehittämistä
- Riskienhallinta
14.11.2011
16.10.2013

11. Jatkokehittäminen
14.11.2011
16.10.2013

12. Vastuu teknologiasta siirtyy yhä enemmän TORI:lle
Tietoturva XYZTietoturva
Tukipalvelut
Tukipalvelut
Tietoturva
Työasema
Työasema
Käyttöpalvelu Käyttöpalvelu
Tukipalvelut
Tietoliikenne
Tietoliikenne
Käyttöpalvelu
Tietoturva
Tietoturva
Tietoliikenne
Tukipalvelut
Tukipalvelut
Työasema
Työasema
Päätelaite
Käyttöpalvelu Käyttöpalvelu
Tietoliikenne
Tietoliikenne
Virastot tuottavat nyt itse tai
ulkoistettuna:
X kertaa työasemapalvelut
* tietoliikenne- ja lähiverkkopalvelut
* palvelinten käyttöpalvelut
* viestintäratkaisut
* toimisto-ohjelmistot
* tietoturvatuotteet
* XYZ
Montako eri yhdistelmää?
Yhteentoimivuus? Palvelutasot?
Tietoturvallisuuden ja varautumisen taso?
Hallinta? Raportointi? Kustannustehokkuus?
14.11.2011
16.10.2013

13. Kiitos!
TORI-hanke, valtiovarainministeriö, JulkICT-toiminto


www.vm.fi/tori
tori(at)vm.fi
Riskienhallinta, turvallisuus
Kimmo Rousku
050 566 2986
kimmo.rousku@valtiokonttori.fi
Projektijohtajat
Hankepäällikkö, Sari-Anne Hannula (sari-anne.hannula(at)vm.fi, puh. 040
529 753)
Kari Pessi (kari.pessi(at)vm.fi, puh. 040 770 9689)
Projektiassistentti
Tiia Jalonen (tiia.jalonen(at)vm.fi, puh. 050 375 9640)
14.11.2011
16.10.2013