Luonnos VAHTI 3/2016 Tietoturvapoikkeamatilanteiden hallinta
Lausuntopyynnön diaarinumero: VM136:09/2013
Vastausaika on päättynyt: 10.10.2016
Lausuntopyynnön taustatiedot
Johdanto
Valtiovarainministeriön asettama Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä (VAHTI) toimii julkisen hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä.
VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää tieto- ja kyberturvallisuuden sekä ICT-varautumisen saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä, ylläpitoa ja käyttöä.
VAHTI osallistuu tarvittaessa valtionhallinnon näkökulmasta kansallista ja kansainvälistä tietoturvallisuutta kehittävien yhteistyöryhmien toimintaan sekä valmistelee tai valmisteluttaa näiden kanssa mahdollisesti valtionhallinnolle annettavat linjaukset. Suomen kyberturvallisuusstrategian mukaisesti VAHTI käsittelee ja sovittaa yhteen valtionhallinnon keskeiset tieto- ja kyberturvallisuuden linjaukset.
VAHTIn tavoitteena on tieto- ja kyberturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on myös edistää tieto- ja kyberturvallisuuden sekä ICT-varautumisen saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta sekä tietojärjestelmien, tietoverkkojen ja ICT-palvelujen kehittämistä, ylläpitoa ja käyttöä.
VAHTI osallistuu tarvittaessa valtionhallinnon näkökulmasta kansallista ja kansainvälistä tietoturvallisuutta kehittävien yhteistyöryhmien toimintaan sekä valmistelee tai valmisteluttaa näiden kanssa mahdollisesti valtionhallinnolle annettavat linjaukset. Suomen kyberturvallisuusstrategian mukaisesti VAHTI käsittelee ja sovittaa yhteen valtionhallinnon keskeiset tieto- ja kyberturvallisuuden linjaukset.
Tausta
Perustamalla Tietoturvapoikkeamien hallintatyöryhmän VAHTI varmistaa tietoturvapoikkeamien hallinnan ja niihin varautumisen osalta VAHTI-ohjeiston ajantasaisuutta ja kattavuutta sekä tehostaa ja yhdenmukaistaa tietoturvapoikkeamiin varautumista ja niiden hallintaa.
VAHTIn asettaman tietoturvapoikkeamien hallinta -työryhmän tehtävät ovat seuraavat:
- Uudistaa ja yhdistää tietoturvapoikkeamien hallintaa koskevat VAHTIn ohjeet
- Valmistella suunnitelma uuden ohjeen jalkauttamiseksi ja käynnistää tarvittavia toimenpiteitä
- Edistää hyviä käytäntöjä tietoturvapoikkeamien hallinnassa ja niihin varautumisessa sekä tarvittavassa yhteistyössä
- Valmistelee VAHTIlle ja valtiovarainministeriölle esityksiä tietoturvapoikkeamien hallinnan ja yhteistyön kehittämiseksi
- Toimeenpanee VAHTIn ja sen puheenjohtajan työryhmälle antamat tehtävät.
Työryhmän toiminnan painopisteenä on tietoturvapoikkeamia koskevien ohjeiden uudistaminen ja yhdistäminen. Uudistettavia ohjeita ovat VAHTI 3/2005 Tietoturvapoikkeamatilanteiden hallinta ja VAHTI 6/2009 Kohdistetut hyökkäykset. Sisältöä uudistustyöhön tuovat myös osaksi ICT-toiminnan varautumisen häiriö- ja erityistilanteisiin VAHTI 2/2009 ja Haittaohjelmilta suojautumisen yleisohje VAHTI 3/2004.
Työryhmä toteuttaa muun muassa seuraavia toimenpiteitä tavoitteidensa ja tehtäviensä toteuttamiseksi:
- Valmistelee työsuunnitelmansa ja uuden ohjeen yhteistyössä VAHTIn ohjejaoston kanssa VAHTIn hyväksyttäväksi.
- Työryhmä järjestää julkisen hallinnon johtajille ja asiantuntijoille suunnatun Tietoturvapoikkeamien hallinta -seminaarin.
- Toimii yhteistyössä käynnissä olevien keskeisten tietoturvapoikkeamien hallintaan liittyvien hankkeiden kanssa. Esimerkkejä keskeisestä yhteistyöhankkeista ovat Suomen kyberturvallisuusstrategian toimeenpanon hankkeet.
- Ohjeita uudistaessaan ja yhdistäessään minimoi päällekkäisyydet muihin VAHTI-ohjeisiin.
VAHTIn asettaman tietoturvapoikkeamien hallinta -työryhmän tehtävät ovat seuraavat:
- Uudistaa ja yhdistää tietoturvapoikkeamien hallintaa koskevat VAHTIn ohjeet
- Valmistella suunnitelma uuden ohjeen jalkauttamiseksi ja käynnistää tarvittavia toimenpiteitä
- Edistää hyviä käytäntöjä tietoturvapoikkeamien hallinnassa ja niihin varautumisessa sekä tarvittavassa yhteistyössä
- Valmistelee VAHTIlle ja valtiovarainministeriölle esityksiä tietoturvapoikkeamien hallinnan ja yhteistyön kehittämiseksi
- Toimeenpanee VAHTIn ja sen puheenjohtajan työryhmälle antamat tehtävät.
Työryhmän toiminnan painopisteenä on tietoturvapoikkeamia koskevien ohjeiden uudistaminen ja yhdistäminen. Uudistettavia ohjeita ovat VAHTI 3/2005 Tietoturvapoikkeamatilanteiden hallinta ja VAHTI 6/2009 Kohdistetut hyökkäykset. Sisältöä uudistustyöhön tuovat myös osaksi ICT-toiminnan varautumisen häiriö- ja erityistilanteisiin VAHTI 2/2009 ja Haittaohjelmilta suojautumisen yleisohje VAHTI 3/2004.
Työryhmä toteuttaa muun muassa seuraavia toimenpiteitä tavoitteidensa ja tehtäviensä toteuttamiseksi:
- Valmistelee työsuunnitelmansa ja uuden ohjeen yhteistyössä VAHTIn ohjejaoston kanssa VAHTIn hyväksyttäväksi.
- Työryhmä järjestää julkisen hallinnon johtajille ja asiantuntijoille suunnatun Tietoturvapoikkeamien hallinta -seminaarin.
- Toimii yhteistyössä käynnissä olevien keskeisten tietoturvapoikkeamien hallintaan liittyvien hankkeiden kanssa. Esimerkkejä keskeisestä yhteistyöhankkeista ovat Suomen kyberturvallisuusstrategian toimeenpanon hankkeet.
- Ohjeita uudistaessaan ja yhdistäessään minimoi päällekkäisyydet muihin VAHTI-ohjeisiin.
Tavoitteet
Tietoturvapoikkeamien halinta -työryhmä tukee toiminnallaan valtiovarainministeriötä ja VAHTIa tietoturvapoikkeamiin varautumisen ja niiden hallintaan liittyvässä kehittämisessä ja sen valmistelussa sekä yhteistyössä.
Työryhmän yleisenä tavoitteena on tietoturvapoikkeamien hallintaa kehittämällä osaltaan parantaa tietoteknisten järjestelmien ja verkkojen sekä palvelujen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on lisäksi vahvistaa tietoturvapoikkeamien hallinnan hyviä käytäntöjä.
Työryhmä edistää osaltaan hallitusohjelman, yhtesikunnan turvallisuusstrategian ja Suomen kyberturvallisuusstrategian ja sen toimeenpano-ohjelman sekä hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä tietoturvapoikkeamien hallintaa. Tietoturvapoikkeamien hallinta on myös keskeisessä roolissa tuotettaessa julkishallinnon digitalisoituvia palveluita; tällä tavalla tieto- ja kyberturvallisuuden kehittäminen tukee ja mahdollistaa toiminnan digitalisaatiota.
Työryhmän yleisenä tavoitteena on tietoturvapoikkeamien hallintaa kehittämällä osaltaan parantaa tietoteknisten järjestelmien ja verkkojen sekä palvelujen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista. Tavoitteena on lisäksi vahvistaa tietoturvapoikkeamien hallinnan hyviä käytäntöjä.
Työryhmä edistää osaltaan hallitusohjelman, yhtesikunnan turvallisuusstrategian ja Suomen kyberturvallisuusstrategian ja sen toimeenpano-ohjelman sekä hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä tietoturvapoikkeamien hallintaa. Tietoturvapoikkeamien hallinta on myös keskeisessä roolissa tuotettaessa julkishallinnon digitalisoituvia palveluita; tällä tavalla tieto- ja kyberturvallisuuden kehittäminen tukee ja mahdollistaa toiminnan digitalisaatiota.
Liitteet:
VAHTI_luonnos_03_2016_tietoturvapoikkeamien_hallinnan_ohje_1409_2016.pdf - Ohjeluonnos.
VAHTI_luonnos_03_2016_poikkeamanhallinta_vaatimukset_1409_2016.xlsx - Luonnos vaatimuksiksi eri tietoturvallisuuden tasoille.
Aikataulu
Lausunto tulee antaa viimeistään maanantaina 10.10.2016. Lausuntojen perusteella työryhmä päivittää ohjeen sekä vaatimukset. Nämä julkaistaan loppuvuoden 2016 aikana VAHTI-johtoryhmän hyväksyttyä kokonaisuuden.
Vastausohjeet vastaanottajille
Lausunnot pyydetään antamaan tämän lausuntopalvelun kautta. Lausunnon antaminen vaatii rekisteröitymisen. Lausunnon voi antaa kuka tahansa asiasta kiinnostunut.
Lausuntoa pyydetään PDF-tiedostona olevaan asiakirjaan sekä Excel-tiedostoon, jotka löytyvät kohdassa "Asiasanat, linkit, liitteet". Lausunnon voi antaa molemmista eli ohjeesta ja vaatimuksista tai erikseen vain toisesta.
Lausunto annetaan tämän sivun alareunan välilehden "Lausuntoni" kunkin vihreän väliotsikon alle. Vastauskentät aukeavat klikkaamalla otsikon perässä olevaa kolmiota. Muita annettuja lausuntoja voi selailla välilehdellä "Lausunnonantajien lausunnot".
Lausuntoa pyydetään PDF-tiedostona olevaan asiakirjaan sekä Excel-tiedostoon, jotka löytyvät kohdassa "Asiasanat, linkit, liitteet". Lausunnon voi antaa molemmista eli ohjeesta ja vaatimuksista tai erikseen vain toisesta.
Lausunto annetaan tämän sivun alareunan välilehden "Lausuntoni" kunkin vihreän väliotsikon alle. Vastauskentät aukeavat klikkaamalla otsikon perässä olevaa kolmiota. Muita annettuja lausuntoja voi selailla välilehdellä "Lausunnonantajien lausunnot".
Valmistelijat
VAHTI-pääsihteeri Kimmo Rousku, [email protected]
Ohjetyöryhmän puheenjohtaja, tietoturvapäällikkö Juha Ilkka, [email protected] - tavoitettavissa 30.9.2016 saakka
Ohjetyöryhmän puheenjohtaja, tietoturvapäällikkö Juha Ilkka, [email protected] - tavoitettavissa 30.9.2016 saakka
Jakelu:
Akaa | ||
Alajärvi | ||
Alavieska | ||
Alavus | ||
Asikkala | ||
Askola | ||
Asumisen rahoitus- ja kehittämiskeskus | ||
Aura | ||
Celia | ||
Elintarviketurvallisuusvirasto | ||
ELY-keskusten sekä TE-toimistojen kehittämis- ja hallintokeskus (KEHA-keskus) | ||
Energiavirasto | ||
Enonkoski | ||
Enontekiö | ||
Espoo - Esbo | ||
Etelä-Pohjanmaan ELY-keskus | ||
Etelä-Savon ELY-keskus | ||
Etelä-Suomen aluehallintovirasto | ||
Eura | ||
Eurajoki | ||
Euroopan kriminaalipolitiikan instituutti | ||
Evijärvi | ||
Forssa | ||
Geologian tutkimuskeskus | ||
Haapajärvi | ||
Haapavesi | ||
Hailuoto | ||
Halsua | ||
Hamina | ||
Hankasalmi | ||
Hanko - Hangö | ||
Harjavalta | ||
Hartola | ||
Hattula | ||
Hausjärvi | ||
Heinola | ||
Heinävesi | ||
Helsingin hallinto-oikeus | ||
Helsingin hovioikeus | ||
Helsinki - Helsingfors | ||
Hirvensalmi | ||
Hollola | ||
Honkajoki | ||
Huittinen | ||
Humppila | ||
Hyrynsalmi | ||
Hyvinkää | ||
Hämeen ELY-keskus | ||
Hämeenkyrö | ||
Hämeenlinna | ||
Hämeenlinnan hallinto-oikeus | ||
Hätäkeskuslaitos | ||
Ii | ||
Iisalmi | ||
Iitti | ||
Ikaalinen | ||
Ilmajoki | ||
Ilmatieteen laitos | ||
Ilomantsi | ||
Imatra | ||
Inari | ||
Ingå - Inkoo | ||
Innovaatiorahoituskeskus Tekes | ||
Isojoki | ||
Isokyrö | ||
Itä-Suomen aluehallintovirasto | ||
Itä-Suomen hovioikeus | ||
Jakobstad - Pietarsaari | ||
Janakkala | ||
Joensuu | ||
Jokioinen | ||
Joroinen | ||
Joutsa | ||
Juankoski | ||
Juuka | ||
Juupajoki | ||
Juva | ||
Jyväskylä | ||
Jämijärvi | ||
Jämsä | ||
Järvenpää | ||
Kaakkois-Suomen ELY-keskus | ||
Kaarina | ||
Kaavi | ||
Kainuun ELY-keskus | ||
Kajaani | ||
Kalajoki | ||
Kangasala | ||
Kangasniemi | ||
Kankaanpää | ||
Kannonkoski | ||
Kannus | ||
Kansainvälisen liikkuvuuden ja yhteistyön keskus CIMO | ||
Kansallinen audiovisuaalinen instituutti KAVI | ||
Kansallinen koulutuksen arviointikeskus KARVI | ||
Kansallisarkisto | ||
Karijoki | ||
Karkkila | ||
Karstula | ||
Karvia | ||
Kaskinen - Kaskis | ||
Kauhajoki | ||
Kauhava | ||
Kauniainen - Grankulla | ||
Kaustinen | ||
Keitele | ||
Kemi | ||
Kemijärvi | ||
Keminmaa | ||
Kempele | ||
Kerava | ||
Keski-Suomen ELY-keskus | ||
Keuruu | ||
Kihniö | ||
Kilpailu- ja kuluttajavirasto | ||
Kimitoön - Kemiönsaari | ||
Kinnula | ||
Kirkkonummi - Kyrkslätt | ||
Kitee | ||
Kittilä | ||
Kiuruvesi | ||
Kivijärvi | ||
Kokemäki | ||
Kokkola - Karleby | ||
Kolari | ||
Konkurssiasiamiehen toimisto | ||
Konnevesi | ||
Kontiolahti | ||
Korkein hallinto-oikeus | ||
Korkein oikeus | ||
Korsholm - Mustasaari | ||
Korsnäs | ||
Koski Tl | ||
Kotimaisten kielten keskus | ||
Kotka | ||
Kouvola | ||
Kristinestad - Kristiinankaupunki | ||
Kronoby - Kruunupyy | ||
Kuhmo | ||
Kuhmoinen | ||
Kuluttajariitalautakunta | ||
Kuopio | ||
Kuortane | ||
Kurikka | ||
Kustavi | ||
Kuusamo | ||
Kyyjärvi | ||
Kärkölä | ||
Kärsämäki | ||
Lahti | ||
Laihia | ||
Laitila | ||
Lapin aluehallintovirasto | ||
Lapin ELY-keskus | ||
Lapinjärvi - Lappträsk | ||
Lapinlahti | ||
Lappajärvi | ||
Lappeenranta | ||
Lapua | ||
Larsmo - Luoto | ||
Laukaa | ||
Lemi | ||
Lempäälä | ||
Leppävirta | ||
Lestijärvi | ||
Lieksa | ||
Lieto | ||
Liikennevirasto | ||
Liikenteen turvallisuusvirasto | ||
Liminka | ||
Liperi | ||
Lohja - Lojo | ||
Loimaa | ||
Loppi | ||
Lounais-Suomen aluehallintovirasto | ||
Loviisa - Lovisa | ||
Luhanka | ||
Lumijoki | ||
Luonnonvarakeskus | ||
Luumäki | ||
Luvia | ||
Länsi- ja Sisä-Suomen aluehallintovirasto | ||
Lääkealan turvallisuus- ja kehittämiskeskus Fimea | ||
Maa- ja metsätalousministeriö | ||
Maahanmuuttovirasto | ||
Maanmittauslaitos | ||
Maaseutuvirasto | ||
Malax - Maalahti | ||
Markkinaoikeus | ||
Marttila | ||
Masku | ||
Merijärvi | ||
Merikarvia | ||
Metsäntutkimuslaitos | ||
Miehikkälä | ||
Mikkeli | ||
Muhos | ||
Multia | ||
Muonio | ||
Museovirasto | ||
Muurame | ||
Mynämäki | ||
Myrskylä - Mörskom | ||
Mäntsälä | ||
Mänttä-Vilppula | ||
Mäntyharju | ||
Naantali | ||
Nakkila | ||
Nivala | ||
Nokia | ||
Nousiainen | ||
Nurmes | ||
Nurmijärvi | ||
Nykarleby - Uusikaarlepyy | ||
Närpes - Närpiö | ||
Oikeuskanslerinvirasto | ||
Oikeusministeriö | ||
Oikeusrekisterikeskus | ||
Onnettomuustutkintakeskus | ||
Opetus- ja kulttuuriministeriö | ||
Opetushallitus | ||
Opintotuen muutoksenhakulautakunta | ||
Orimattila | ||
Oripää | ||
Orivesi | ||
Oulainen | ||
Oulu | ||
Outokumpu | ||
Padasjoki | ||
Paimio | ||
Paltamo | ||
Pargas - Parainen | ||
Parikkala | ||
Parkano | ||
Patentti- ja rekisterihallitus | ||
Pedersöre | ||
Pelastusopisto | ||
Pelkosenniemi | ||
Pello | ||
Perho | ||
Pertunmaa | ||
Petäjävesi | ||
Pieksämäki | ||
Pielavesi | ||
Pihtipudas | ||
Pirkanmaan ELY-keskus | ||
Pirkkala | ||
Pohjanmaan ELY-keskus | ||
Pohjois-Karjalan ELY-keskus | ||
Pohjois-Pohjanmaan ELY-keskus | ||
Pohjois-Savon ELY-keskus | ||
Pohjois-Suomen aluehallintovirasto | ||
Poliisiammattikorkeakoulu | ||
Poliisihallitus | ||
Polvijärvi | ||
Pomarkku | ||
Pori | ||
Pornainen | ||
Porvoo - Borgå | ||
Posio | ||
Pudasjärvi | ||
Pukkila | ||
Punkalaidun | ||
Puolanka | ||
Puolustushallinnon rakennuslaitos | ||
Puolustusministeriö | ||
Puumala | ||
Pyhtää - Pyttis | ||
Pyhäjoki | ||
Pyhäjärvi | ||
Pyhäntä | ||
Pyhäranta | ||
Pälkäne | ||
Pääesikunta | ||
Pöytyä | ||
Raahe | ||
Raisio | ||
Rajavartiolaitoksen esikunta | ||
Rantasalmi | ||
Ranua | ||
Raseborg - Raasepori | ||
Rauma | ||
Rautalampi | ||
Rautavaara | ||
Rautjärvi | ||
Reisjärvi | ||
Riihimäki | ||
Riista- ja kalatalouden tutkimuslaitos | ||
Rikosseuraamuslaitos | ||
Ristijärvi | ||
Rovaniemen hovioikeus | ||
Rovaniemi | ||
Ruokolahti | ||
Ruovesi | ||
Rusko | ||
Rääkkylä | ||
Saarijärvi | ||
Salla | ||
Salo | ||
Sastamala | ||
Satakunnan ELY-keskus | ||
Sauvo | ||
Savitaipale | ||
Savonlinna | ||
Savukoski | ||
Seinäjoki | ||
Sievi | ||
Siikainen | ||
Siikajoki | ||
Siikalatva | ||
Siilinjärvi | ||
Simo | ||
Sipoo - Sibbo | ||
Sisäministeriö | ||
Siuntio - Sjundeå | ||
Sodankylä | ||
Soini | ||
Somero | ||
Sonkajärvi | ||
Sosiaali- ja terveysalan lupa- ja valvontavirasto (Valvira) | ||
Sosiaali- ja terveysministeriö | ||
Sosiaaliturvan muutoksenhakulautakunta | ||
Sotkamo | ||
Statens ämbetsverk på Åland | ||
Sulkava | ||
Suojelupoliisi | ||
Suomen Akatemia | ||
Suomen ympäristökeskus | ||
Suomenlinnan hoitokunta | ||
Suomussalmi | ||
Suonenjoki | ||
Sysmä | ||
Säkylä | ||
Säteilyturvakeskus | ||
Taipalsaari | ||
Taiteen edistämiskeskus | ||
Taivalkoski | ||
Taivassalo | ||
Tammela | ||
Tampere | ||
Terveyden ja hyvinvoinnin laitos | ||
Tervo | ||
Tervola | ||
Teuva | ||
Tietosuojavaltuutetun toimisto | ||
Tilastokeskus | ||
Tohmajärvi | ||
Toholampi | ||
Toivakka | ||
Tornio | ||
Tulli | ||
Turku - Åbo | ||
Turun hallinto-oikeus | ||
Turun hovioikeus | ||
Turvallisuus- ja kemikaalivirasto | ||
Tuusniemi | ||
Tuusula | ||
Tyrnävä | ||
Työ- ja elinkeinoministeriö | ||
Työneuvosto | ||
Työttömyysturvan muutoksenhakulautakunta | ||
Työtuomioistuin | ||
Ulkoasiainministeriö | ||
Ulvila | ||
Urjala | ||
Utajärvi | ||
Utsjoki | ||
Uudenmaan ELY-keskus | ||
Uurainen | ||
Uusikaupunki | ||
Vaala | ||
Vaasa - Vasa | ||
Vaasan hallinto-oikeus | ||
Vaasan hovioikeus | ||
Vakuutusoikeus | ||
Valkeakoski | ||
Valtakunnansyyttäjänvirasto | ||
Valtakunnanvoudinvirasto | ||
Valtimo | ||
Valtiokonttori | ||
Valtion taloudellinen tutkimuskeskus | ||
Valtion talous- ja henkilöstöhallinnon palvelukeskus | ||
Valtion tieto- ja viestintätekniikkakeskus Valtori | ||
Valtioneuvoston kanslia | ||
Valtiovarainministeriö | ||
Vantaa - Vanda | ||
Varastokirjasto | ||
Varkaus | ||
Varsinais-Suomen ELY-keskus | ||
Vehmaa | ||
Verohallinto | ||
Vesanto | ||
Vesilahti | ||
Veteli | ||
Vieremä | ||
Viestintävirasto | ||
Vihti | ||
Viitasaari | ||
Vimpeli | ||
Virolahti | ||
Virrat | ||
Väestörekisterikeskus | ||
Vörå - Vöyri | ||
Ylioppilastutkintolautakunta | ||
Ylitornio | ||
Ylivieska | ||
Ylöjärvi | ||
Ympäristöministeriö | ||
Ypäjä | ||
Ähtäri | ||
Äänekoski |
Asiasanat
VAHTI, tietoturva, kyberturvallisuus, tietoturvapoikkeama