SaaSec-hanke | Digiturvalliset SaaS-mallin pilvipalvelut

Kuinka kunnan tulee toimia, jotta SaaS-mallin pilvipalvelun digitaalinen turvallisuus voidaan varmistaa palvelun elinkaaren kaikissa vaiheissa?
SaaSec-hankkeessa luodaan toimintakonsepti, joka sisältää ohjeistuksen palvelun määrittelyvaiheen, hankintavaiheen ja päättämisvaiheen lisäksi palvelun käytön aikaisesta valvonnasta sekä auditoinnin järjestämisestä.

Taustaa

Digitalisaatio etenee ja vaatimukset kunnille kasvavat koko ajan sekä asiakasrajapinnasta että lainsäädännöllisesti. Tarjolla on yhä enemmän pilvipalveluita myös kuntasektorille. Samaan aikaan digitaalisen turvallisuuden (jäljempänä digiturva) uhat kasvavat päivä päivältä ja digiturvan ylläpitäminen vaatii panostuksia. Kuntien kehittämisresurssit ovat vähäiset ja yhä enemmän joudutaan luottamaan toimittajien sopimuksiin ja teknisiin ratkaisuihin. Vastuu digiturvasta on kuitenkin kunnilla ja toimintamallien pitäisi olla selkeitä. Sen sijaan, että jokainen kunta erikseen tekisi toimintakonseptin SaaS-palveluiden digiturvan varmistamisesta, SaaSec-hanke tekee sen kaikkien käyttöön usean Kuuma-kunnan yhteistyönä.

Hyödyt

  • Kunnat voivat jatkossa hyödyntää omassa toiminnassaan konseptia, joka ohjaa toimintaa SaaS-palveluiden digiturvan hallinnassa palvelun elinkaaren kaikissa vaiheissa.
  • Riski tietoturvaloukkauksiin pienenee, kun ennaltaehkäisyä tehostetaan.
  • Aikaa säästyy, kun toiminta muuttuu vakiomalliseksi ja riskit pienenevät.
  • Kuntien yhteinen malli tehostaa toimittajahallintaa ja hankintoja.
  • Kuntien yhteinen malli sitouttaa toimittajia digiturvalliseen toimintaan ja aktivoi heitä parantamaan omaa dokumentaatiotaan ja sopimusmallejaan.

 

Toimenpiteitä

  • Tarkastellaan kuntien velvoitteita tietoturvan näkökulmasta sekä nykytilaa.
  • Verrataan eri sopimusehtoja (IT ja JIT) ja perehdytään lainalaisuuksiin.
  • Tarkastellaan kuntien olemassa olevia sopimuksia ja niihin liittyviä parhaita käytäntöjä sekä arjessa ilmenneitä haasteita.
  • Tutustutaan erilaisiin auditointitapoihin ja eri tavoin toteutettuihin SaaS-palveluiden digiturvakäytänteisiin.
  • Selvitetään, kuinka auditointi voidaan suorittaa järjestelmiin, joiden sopimuksiin ei ole liitetty auditointiin liittyviä ehtoja.

 

Tuotokset

Hankkeen toiminta-aikana järjestetään koulutusta ja yhteiskehittämisen työpajoja kuntien sisäisille sidosryhmille, joita ovat:

  • Pilvipalvelun hankinnasta vastaavat
  • ICT / Tekniset asiantuntijat
  • Hankinta-asiantuntijat
  • Tietoturvasta ja tietosuojasta vastaavat asiantuntijat
  • Johto, esihenkilöt
  • Henkilöstö / Pääkäyttäjät ja peruskäyttäjät

Palveluntoimittajien kanssa käydään vuoropuhelua hankintaprosessin sujuvoittamiseksi ja hankinta-asiakirjojen yhdenmukaistamiseksi myös digitaalisen turvallisuuden näkökulmasta.

Hankkeen tuotoksena valmistuu SaaS-palvelun hankinnan opas, joka on kaikkien kuntien hyödynnettävissä.

Oppaan sisältö:

  • Ohjeistus, kuinka kunta voi toimia varmistaakseen digiturvan SaaS-palvelun elinkaaren kaikissa vaiheissa.
  • Tarkistuslistoja ja määrittely- ja asiakirjapohjia hankintaprosessin tueksi
  • Tietoa erilaisista arviointitavoista ja -prosessista sekä arviointikriteeristöistä ja standardeista
  • Hankkeessa järjestettyjen koulutusten tallenteet ja materiaalit
  • Linkkejä ja suosituksia ulkopuolisiin hyödyllisiin palveluihin ja työkaluihin

 

Hankkeeseen osallistuvat kunnat: Hyvinkää, Kirkkonummi, Nurmijärvi, Sipoo, Tuusula ja Vihti
Hankkeen toiminta-aika: 1.10.2021 – 30.9.2023
Kokonaisbudjetti: 250 000 €, josta VM:n myöntämä tuki 85 % ja kuntien rahoitusosuus 15 %

Lisätietoa hankkeesta:

Päivi Jaakola
projektipäällikkö
etunimi.sukunimi@sipoo.fi
040 838 2236

Käsitteitä ja sanastoa

Pilvipalvelu

Pilvipalvelua voi käyttää tietokoneella ja mobiililaitteilla internetin kautta – sen käyttö vaatii vain nettiyhteyden. Pilvipalvelu ei ole konkreettisesti käyttäjän omalla tietokoneella, tai organisaation tai yrityksen omalla palvelimella, vaan pilvipalvelun tarjoavan yrityksen palvelimella.

Pilvipalveluissa on erilaisia palvelumalleja, joista yksi on SaaS (Software as a Service = Ohjelmisto palveluna). SaaS-mallin pilvipalvelu on pilvessä sijaitseva ohjelmisto, johon organisaatio tai yritys ostaa käyttöoikeuden palveluntarjoajalta. SaaS-palvelussa tietokoneelle ei yleensä tarvitse asentaa mitään ohjelmia, vaan se toimii internetin välityksellä.

Tietoturva

Tietoturvalla varmistetaan tietojen luottamuksellisuus, eheys ja käytettävyys. Tietoturvaan sisältyy muun muassa tietojen, tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen, tilojen ja toiminnan turvaaminen. Tietoturva liittyy läheisesti tietosuojaperiaatteiden toteuttamiseen.

Tietosuoja

Tietosuoja tarkoittaa perusoikeutta, joka turvaa jokaisen oikeuksia ja vapauksia henkilötietojen käsittelyssä. Tietosuoja määrittelee ne periaatteet, milloin, millä edellytyksillä ja miten henkilötietoja voidaan käsitellä.

Kyberturvallisuus

Siinä missä tietoturvalla tarkoitetaan tiedon käytettävyyttä, eheyttä ja luottamuksellisuutta, kyberturvallisuus tarkoittaa digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta. Kyberturvallisuuteen pyrittäessä tietoturva on keskeinen tekijä. Kybertoimintaympäristö on yhdestä tai useammasta digitaalisesta tietojärjestelmästä muodostuva toimintaympäristö.
(Lähde: Turvallisuuskomitea – Kyberturvallisuuden sanasto)

Auditointi

Auditointi on suunnitelmallinen arviointi / selvitys, jossa verrataan toimintaa, ohjeistusta ja vaatimuksia. Auditoinnin avulla selvitetään toiminnan ja ohjeistuksen mahdolliset puutteet ja kehittämiskohdat. Jotta auditoinnissa saadut tulokset olisivat luotettavia, auditoinnin on oltava järjestelmällistä ja riippumatonta. Organisaatio voi itse arvioida, onko vaatimuksia noudatettu (sisäinen auditointi) tai palkata työhön kolmannen osapuolen (ulkoinen auditointi).

Standardisointi

Standardisointi on yhteisten toimintatapojen laatimista ja niiden kirjaamista lopputuotteeseen, standardiin. Standardi on määritelmä siitä, miten jokin asia tulisi tehdä. Standardisointi lisää parhaiden ratkaisujen käyttöä ja samalla laatua, yhteentoimivuutta ja turvallisuutta. Tärkeää on myös toteutusten läpinäkyvyys eli se, että vaatimukset ovat avoimesti saatavilla ja että vaatimusten täyttyminen voidaan todentaa.

Akkreditointi

Akkreditointi tarkoittaa toimijan pätevyyden toteamista puolueettomasti ja riippumattomasti. Akkreditointi yhdenmukaistaa vaatimusten tulkintaa ja lisää yhteentoimivuutta. Akkreditoidun toimijan tuottamien palveluiden laatuun ja standardin tulkintaan voidaan luottaa. Sertifioinneissa tulisi käyttää vain akkreditoituja toimijoita.

Sertifiointi

Sertifioinnin tarkoituksena on osoittaa organisaatiolle tai tuotteelle määriteltyjen vaatimusten täyttyminen. Vaatimukset perustuvat useimmiten kansainvälisiin standardeihin. Sertifioinnista myönnetään kirjallinen todistus, sertifikaatti, joka on todistus vaatimusten täyttymisestä.

Esimerkki, kuinka määritelmät liittyvät toisiinsa:

  1. Sertifiointi perustuu tehtävään arviointiin (auditointi).
  2. Arvioinnin kriteereinä käytetään useimmiten yhtä tai useampaa kansainvälisesti tunnettua standardia (esimerkiksi ISO 9001 -laatujärjestelmä) tai jotakin toimiala- tai aihekohtaista muuta standardia (esimerkiksi ISO 27001 -tietoturvallisuusstandardi).
  3. Virallinen, kansainvälisesti tunnustettu sertifiointi edellyttää, että arvioinnin tekee ja sertifikaatin myöntää taho, jolla on hyväksyntä (akkreditointi) suorittaa kyseistä arviointia ja todistusten myöntämistä.