Internet-verkkoon näkyvien ICT-palveluiden jatkuvan haavoittuvuusskannauspalvelun yhteishankkeet (kolme hanketta)
VM047:16/2007 Kehittäminen
Ministeriöt toteuttavat hallitusohjelmaa, valmistelevat lakeja ja muita säädöksiä sekä vievät eteenpäin uudistuksia erilaisissa hankkeissa, työryhmissä ja toimielimissä.
Kaikkien ministeriöiden hankkeet löydät valtioneuvoston verkkosivuilta
Yhteishankkeiden tehtävänä on varmistaa, ylläpitää ja kehittää osallistuvien virastojen Internet-verkkoon näkyvien ICT-palveluiden tietoturvallisuutta säännöllisellä teknisellä haavoittuvuusskannauksella, jolla pyritään löytämään mahdollisia palvelun luottamuksellisuutta, eheyttä tai saatavuutta heikentäviä poikkeamia.
Hankkeen perustiedot Päättynyt
Hankenumero VM047:16/2007
Asianumerot 1651/00.01.00.01/2011
Asettaja valtiovarainministeriö
Toimikausi/aikataulu 1.9.2011 – 31.12.2012
Asettamispäivä 17.10.2011
Tavoitteet ja tuotokset
Osallistuvien organisaatioiden tulee liittää haavoittuvuusskannauspalveluun sen toimintojen kannalta vähintään tärkeät verkkopalvelut ja verkkolaitteet. Osana palvelun käyttöönottoa palveluun liitettäville verkkopalveluille laaditaan yhdenmukainen tärkeysjärjestys.
Tiivistelmä
Yhteishankkeiden tehtävänä on varmistaa, ylläpitää ja kehittää osallistuvien virastojen Internet-verkkoon näkyvien ICT-palveluiden tietoturvallisuutta säännöllisellä teknisellä haavoittuvuusskannauksella, jolla pyritään löytämään mahdollisia palvelun luottamuksellisuutta, eheyttä tai saatavuutta heikentäviä poikkeamia.
Lähtökohdat
Valtioneuvosto teki periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä 26.11.2009. Periaatepäätös linjaa valtionhallinnon tietoturvallisuuden kehittämisperiaatteet ja painopisteet sekä sisältää päätöksen valtionhallinnon tietoturvallisuuden kehittämisohjelman toteuttamisesta.
Valtionhallinnon tietoturvallisuusasetus on tärkeä osa periaatepäätöksen toimeenpanoa. Asetus tuli voimaan 1.10.2010. Sitä täydentävä VAHTI-ohje 2/2010 tarkentaa ja ohjeistaa yksityiskohtaisella tasolla tietoaineistojen käsittelyä sekä esittää yleiset linjaukset perus-, korotetun ja korkean tietoturvan tasosta koskien tietoturvallisuuden johtamista ja hallintaa sekä tietojärjestelmiä. VAHTI-ohje 3/2010 sisältää tietoturvatasojen linjaukset hallinnon sisäverkoille.
Valtion virastojen on saavutettava linjausten mukainen tietoturvallisuuden perustaso viimeistään 30.9.2013. Perustason toteuttamisen tueksi on käynnistetty erilliset tietoturvatasojen yhteishankkeet (asettamispäätös 8.6.2011, VM047:15/2007). Nyt käynnistettävillä yhteishankkeilla on niissä toteutettavalla Internet-verkkoon näkyvien ICT-palveluiden jatkuvan haavoittuvuusskannauspalvelun avulla organisaatiot voivat täydentää mm. seuraavat tietoturvatasojen vaatimukset:
1.4 Kumppanuuksille ja resurssien hallinnalle asetettavat vaatimukset
Kumppanin kanssa tehdään kirjallinen sopimus, jossa määritellään yhteistyön tai hankinnan kohteen tietoturvavaatimukset sekä miten tietoturvallisuuden valvonta, seuranta ja raportointi tapahtuu.
1.6.1 Toiminnan arviointi ja toteuttaminen
1. Organisaatiossa tehdään säännöllisesti tietoturvallisuuden auditointeja tai arviointeja.
2. Auditoinnit tai arvioinnit ovat suunniteltuja ja johdon hyväksymiä.
3. Auditoinnin tai arvioinnin tulokset raportoidaan toiminnon tai kohteen omistajalle.
4. Auditointien tai arviointien suosituksista pidetään koko organisaation tasolla kirjaa ja parannustoimenpiteiden toteutumista seurataan.
Korotetun tason lisävaatimukset
5. Tietoturva-auditointeja tai arviointeja tehdään joka vuosi.
2.13 Tietojärjestelmäkehityksen ja sovellusylläpidon hallinta
Korotetun tason lisävaatimukset
7. Järjestelmän määritykset ja toteutukset on auditoitu tietoturvallisuuden osalta.
Asettaminen ja organisointi
-
17.10.2011 Valtiovarainministeriö