Valtiokonttori, Valtion IT-palvelukeskuksen asiakaspäivä 16.10.2013: TORI – tietoturva, varautuminen ja riskienhallinta - Apulaisjohtaja Kimmo Rousku, Valtiokonttori, Valtion IT-palvelukeskus
Kimmo Rousku: TORI – tietoturva, varautuminen ja riskienhallinta
1. TORI – riskienhallinta, tietoturvallisuus
ja varautuminen
Apulaisjohtaja Kimmo Rousku, Valtiokonttori, Valtion IT-palvelukeskus /
TORI-suunnitteluryhmä, riskienhallinta ja tietoturvallisuus
2. Esitykseni
Hallituksen esitys
Hallituksen esitys eduskunnalle laeiksi
valtion yhteisten tieto- ja viestintäteknisten
palvelujen järjestämisestä
TORI:n käynnistyminen vs. ”as is” -malli
Jatkokehittäminen - toimintojen
yhtenäistäminen
14.11.2011
16.10.2013
3. Visio sekä hallituksen esitys
Valtion toimialariippumattomat ICT-palvelut
ovat kilpailukykyisiä, laadukkaita, ekologisia,
tietoturvallisia ja asiakastarpeet täyttäviä
http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirja
t/03_muut_asiakirjat/20130417Luonno/01_TO
RI_Liiketoimintasuunnitelma_v0.91.pdf
14.11.2011
16.10.2013
4. Hallituksen esitys
Riskinä on todettu myös tietoturvallisuuden ja
varautumisen toteuttaminen vaadituilla tasoilla.
Nykytilassa kaikki virastot eivät saavuta tietoturvan ja
varautumisen vaatimusten tasoa vuoden 2013 aikana.
Tarkoituksena on, että perustettava palvelukeskus
toteuttaa kokonaisarkkitehtuurinsa siten, että
tietoturvan haasteisiin pystytään vastaamaan.
Keskittämällä tietoturvan ja varautumisen osaaminen,
hallinta ja tekniikat saavutetaan nykyistä hajautettua
mallia merkittävästi parempi tietoturvan ja
varautumisen taso.
14.11.2011
16.10.2013
5. Hallituksen esitys
Yhteisten palvelujen on noudatettava
valtion tietohallinnon kokonaisarkkitehtuuria ja yhteentoimivuuden
kuvauksia ja määrityksiä ja niiden on
täytettävä tarpeen mukaiset
tietoturvallisuutta ja varautumista
koskevat vaatimukset.
Esimerkiksi TTA 681/2010, tietoturvatasot
sekä ICT-varautumisen vaatimukset
14.11.2011
16.10.2013
6. Hallituksen esitys
Palvelut ovat käyttäjäystävällisiä ja palvelut
ovat tietoturvallisia ja toteuttavat
varautumiselle asetettavat vaatimukset.
Palvelujen tietoturvallisuus voitaisiin arvioida ja
todentaa tietojärjestelmien ja
tietoliikennejärjestelyjen arvioinnista annetun
lain (1406/2011) ja valtionhallinnon
tietoturvallisuudesta annetun asetuksen
(681/2010) mukaisesti.
14.11.2011
16.10.2013
7. Hallituksen esitys
Tarkoitus on, että ehdotetun lain 5 §:ssä
tarkoitettuun palvelukeskukseen kootaan
valtionhallinnon perustason sekä korotetun ja
korkean tietoturvan ja varautumisen tason
toimialariippumattomat ICT-tehtävät pois
lukien ne tehtävät, jotka julkisen hallinnon
turvallisuusverkkotoimintaa koskevan lain
mukaan olisivat valtion kokonaan omistaman
Suomen Erillisverkot Oy:n tehtävänä.
14.11.2011
16.10.2013
8. Käynnistyminen vs. ”as is”-malli
Riskienhallinnan, tietoturvallisuuden ja
varautumisen osalta:
Osa on ”as is” –työtä eli edetään kuten tähän
saakka ja osa on 1.1.2014 aikataululla
toteutettavia asioita:
1.1.2014
Uusi virasto aloittaa toimintansa ja viraston johdolla
on vastuu sen toiminnasta
Priorisoidaan siten, että tällöin tarvittavat pakolliset
toimintamallit, ohjeet ja viestintä ovat toiminnassa
14.11.2011 16.10.
2013
9. Käynnistyminen vs. ”as is”-malli
1. Henkilö- ja
2. Tilaturvallisuus
3. Pelastustoiminta
5. Työturvallisuus
6. Tietoturvallisuus
7. Valmius- ja
jatkuvuussuunnittelu
8. Riskienhallinta ja
raportointi
Vaatimustenmukaisuus
Kyberturvallisuus
1.1.2014 uuden viraston aloittaessa toiminnassa oltavat prosessit ja ohjeistukset
V 2014 – 2015 toimintojen yhtenäistäminen
4. Rikosturvallisuus
Vaatimustenmukaisuuden täyttäminen
14.11.2011
16.10.2013
10. Käynnistyminen vs. ”as is”-malli
Perustamisvaihe syksy 2013
- Tietojen keruu ja suunnittelu
käynnistämisen
mahdollistamiseksi
- Siirtoprojektien tietoturvaasioista huolehtiminen –
turvallisuuskysely
- Turvallisuus-ryhmän
perustaminen
- Riskienhallinta ja toimenpiteet
riskien pienentämiseksi
Käynnistämisvaihe 1.1.2014
alkaen
- Pakollisten toimintamallien
toteuttaminen uuden viraston
osalta
- Toimintasiirtojen kehittäminen
turvallisuuden osalta
- Yhtenäistämisen suunnittelu
- Riskienhallinta
Yhtenäistämisvaihe - jatkuva
kehittäminen
- Kehitetään ja parannetaan
turvallisuus-toimintaa osana
TORIn muuta toimintojen
yhtenäistämistä ja
toimintaprosessien kehittämistä
- Riskienhallinta
14.11.2011
16.10.2013