Internet-verkkoon näkyvien ICT-palveluiden jatkuvan haavoittuvuusskannauspalvelun yhteishankkeet (kolme hanketta)
VM047:16/2007 Projekt
Yhteishankkeiden tehtävänä on varmistaa, ylläpitää ja kehittää osallistuvien virastojen Internet-verkkoon näkyvien ICT-palveluiden tietoturvallisuutta säännöllisellä teknisellä haavoittuvuusskannauksella, jolla pyritään löytämään mahdollisia palvelun luottamuksellisuutta, eheyttä tai saatavuutta heikentäviä poikkeamia.
Projektets basuppgifter Avslutat
Projektets nummer VM047:16/2007
Ärendenummer 1651/00.01.00.01/2011
Projektets arrangör finansministeriet
Mandattid 1.9.2011 – 31.12.2012
Datum för tillsättande 17.10.2011
Mål och resultat
Osallistuvien organisaatioiden tulee liittää haavoittuvuusskannauspalveluun sen toimintojen kannalta vähintään tärkeät verkkopalvelut ja verkkolaitteet. Osana palvelun käyttöönottoa palveluun liitettäville verkkopalveluille laaditaan yhdenmukainen tärkeysjärjestys.
Utgångspunkter
Valtioneuvosto teki periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä 26.11.2009. Periaatepäätös linjaa valtionhallinnon tietoturvallisuuden kehittämisperiaatteet ja painopisteet sekä sisältää päätöksen valtionhallinnon tietoturvallisuuden kehittämisohjelman toteuttamisesta.
Valtionhallinnon tietoturvallisuusasetus on tärkeä osa periaatepäätöksen toimeenpanoa. Asetus tuli voimaan 1.10.2010. Sitä täydentävä VAHTI-ohje 2/2010 tarkentaa ja ohjeistaa yksityiskohtaisella tasolla tietoaineistojen käsittelyä sekä esittää yleiset linjaukset perus-, korotetun ja korkean tietoturvan tasosta koskien tietoturvallisuuden johtamista ja hallintaa sekä tietojärjestelmiä. VAHTI-ohje 3/2010 sisältää tietoturvatasojen linjaukset hallinnon sisäverkoille.
Valtion virastojen on saavutettava linjausten mukainen tietoturvallisuuden perustaso viimeistään 30.9.2013. Perustason toteuttamisen tueksi on käynnistetty erilliset tietoturvatasojen yhteishankkeet (asettamispäätös 8.6.2011, VM047:15/2007). Nyt käynnistettävillä yhteishankkeilla on niissä toteutettavalla Internet-verkkoon näkyvien ICT-palveluiden jatkuvan haavoittuvuusskannauspalvelun avulla organisaatiot voivat täydentää mm. seuraavat tietoturvatasojen vaatimukset:
1.4 Kumppanuuksille ja resurssien hallinnalle asetettavat vaatimukset
Kumppanin kanssa tehdään kirjallinen sopimus, jossa määritellään yhteistyön tai hankinnan kohteen tietoturvavaatimukset sekä miten tietoturvallisuuden valvonta, seuranta ja raportointi tapahtuu.
1.6.1 Toiminnan arviointi ja toteuttaminen
1. Organisaatiossa tehdään säännöllisesti tietoturvallisuuden auditointeja tai arviointeja.
2. Auditoinnit tai arvioinnit ovat suunniteltuja ja johdon hyväksymiä.
3. Auditoinnin tai arvioinnin tulokset raportoidaan toiminnon tai kohteen omistajalle.
4. Auditointien tai arviointien suosituksista pidetään koko organisaation tasolla kirjaa ja parannustoimenpiteiden toteutumista seurataan.
Korotetun tason lisävaatimukset
5. Tietoturva-auditointeja tai arviointeja tehdään joka vuosi.
2.13 Tietojärjestelmäkehityksen ja sovellusylläpidon hallinta
Korotetun tason lisävaatimukset
7. Järjestelmän määritykset ja toteutukset on auditoitu tietoturvallisuuden osalta.
Tillsättande och organisering
-
17.10.2011 Valtiovarainministeriö
Lagberedning och utveckling i statsrådet
Ministerierna genomför regeringsprogrammet, bereder lagar och andra författningar samt genomför reformer i olika projekt, arbetsgrupper och organ.
Alla ministeriers projekt hittas på statsrådets webbplats valtioneuvosto.fi/sv/projekt