Ads 468x60px

sunnuntai 24. toukokuuta 2015

Kun tietoturva ja käytäntö kohtaavat - Case sovellusasennus

Sattuipa viime viikolla elävässä elämässä: minun piti toteuttaa asiakkaalle projektia, jonka toteutukseen tarvittiin normaalista poikkeavia yhteyksiä asiakkaan sisäverkkoon. Yhteyksien toteuttamiseen minun piti, tai olisi pitänyt, asentaa erillinen sovellus pääkäyttäjän oikeuksin omalle koneelleni. No pahus, minulla ei ole pääkäyttäjän oikeuksia koneeseeni, mutta olin budjetoinut, että teen tuota projektia kyseisenä päivänä. Asiakaskin olisi ollut tyytyväinen, jos hän olisi saanut jotain konkreettista jo päivän päätteeksi. Mutta, ei auta, ei-standardeille sovelluksille on oma asennusprosessinsa, jota pitää noudattaman. Prosessiin kuuluu, että sovelluksesta tehdään virallinen asennuspyyntö, ennalta hyväksymättömien sovelluksien aiheuttamat riskit arvioidaan, asennus kirjataan ylös ja tämän jälkeen helpdesk saa luvan asentaa sovellus oman prioriteettilistansa puitteissa. Eli, pyyntö sisään ja odottamaan, että helpdesk ottaa pyynnön toteutukseen. Valistunut lukija voi otsikosta arvata, onnistuuko asennus saman päivän aikana...

Niinpä niin, ja tietoturvan piti edistää liiketoimintaa. Miten tässä näin kävi, että homma jäi toteuttamatta tietoturva takia? Muutama vuosi sitten homma olisi onnistunut. Tällöin ihmiset saattoivat kävellä helpdeskiin ja pyytää helpdeskiä syöttämään salasanan suoraan asennusohjelmaan. Tehokkuus maksimoitui, mutta toisaalta organisaation näkökulmasta hallittavuus oli nolla. Koneista löytyi mitä erilaisimpia sovelluksia eikä kelläkään ollut hajua mitä sovelluksia todellisuudessa tarvittiin, salliko sovellusten lisensointi sovellusten käyttämisen, mitä haavoittuvuuksia sovelluksissa oli ja niin edelleen. Lisäksi, teoriassa käyttäjien olisi toki pitänyt poistaa sovellukset sen jälkeen kun niitä ei enää tarvittu, mutta kuinka moni on poistanut sovelluksia koneestaan, tai puhelimestaan, jos levytilasta ei ole akuuttia puutetta?

Koska asennus ei siis onnistunut suoraan, niin jäin miettimään voisinko tehdä poikkeuksen prosessiin? Eikai nyt yksi pikku luistiminen haittaisi? Ehkä hieman kaukaa haluttu esimerkki, mutta näin varmaan Hillary Clintonkin ajatteli, kun hän käytti henkilökohtaista sähköpostia virkatehtäviin. Hän päätti tietoisesti rikkoa sääntöjä voidakseen toimia (omasta näkökulmastaan) tehokkaammin. Noh, toki hommat hoituivat, kyseessä tapauksessa ei Hillaryn onneksi sattunut pahoja tietovuotoja (tai katoamisia) ja jälkipyykkikin saatiin selvittyä pienin vaurioin avustajien avulla.

Tästä päästään siihen, että edes tietoturvamaailma ei ole täysin musta-valkoinen. Tietoturvassa on mahdollista tehdä poikkeuksia ja niitä pitää myös perustelluista syistä pystyä tekemään. Tällöin päädymme arvioimaan millaisen riskin poikkeus meille aiheuttaa ja miten aiomme tämän uuden riskin hallita. Hillaryn tapauksessa näyttää siltä, että hän kesti sääntöjen rikkomisesta aiheutuneen riskin. Oliko tämä sitten hallittua ja laskelmoitua riskin ottamista, niin sen tietää vain Hillary itse.

Niin tai näin, mitä sitten opin ylläolevassa harjoituksesta? Ainakin seuraavat asiat:
  1. Jokaisen, joka määrittelee jotain prosesseja, tulee joutua itse käyttämään kyseistä prosessia. Määrittelijän ja käyttäjä tarpeet eivät aina ole samat ja eri tarpeiden väliltä joudutaan etsimään molempia tahoja tyydyttävä kompromissi.
  2. Vaikka prosessit tuovat hitautta joskus yksilötasolla, niin kokonaisuuden kannalta prosessit ovat välttämättömiä. Vaikka minä tiedän tämän, niin minun tulee pystyä kertomaan tämä isokuva myös muille loppukäyttäjille.
  3. Mieti etukäteen miten poikkeukset tulee hoitaa. Mikä on se oikopolku, jota voidaan käyttää poikkeavassa tilanteessa? Tässä kohden on hyvä muistaa, että ”mikä prosessin oikaisussa säästetään, niin se hävitään (yleensä monin kertaisesti) jälkikäteisselvityksessä”.
Bonus: Mittaa aikaa, joka kuluu sovelluksen asennuspyynnöstä siihen, kun sovellus on saatu asennettua. Näin käyttäjien arki konkretisoituu.

Hallittuja sovellusasennuksia!
Antti

keskiviikko 22. huhtikuuta 2015

Tuntematon uhka tanskassa

KPMG Suomi julkaisi loppuvuodesta 2013 Tuntematon uhka suomessa tutkimuksen. KPMG Ruotsi seurasi perässä ja julkaisi oman tutkimuksensa Ruotsin tilanteesta elokuussa 2014. Nyt vuorossa on KPMG Tanska, joka esitteli Unknown Threat in Denmark tutkimuksensa 21.4.2015 ISACA Nordic konfrenssissa (Tutkimusmateriaalia ei ole 22.4.2015 julkaistu vapaasti ladattavaksi).

Tuntematon Uhka tanskassa tutkimuksessa oli mukana 18 organisaatiota niin julkiselta kuin yksityiseltä sektorilta. Mukana olleiden organisaatioiden toimialat vaihtelivat, eikä niitä anonymiteetin takia ole julkaistu. Tutkittavat organisaatiot olivat kooltaan yli 500 henkilön tai niissä oli käytössä suuri määrä päätelaitteita. Tutkimusdata kerättiin helmikuun 2015 aikana.

Tuntematon uhka tutkimuksien tulosten vertailu
Tanskan tutkimuksen tulokset ovat ehkä jopa huolestuttavampia kuin mitä Suomessa ja Ruotsissa toteutettujen tutkimusten tulokset ovat. Kaikkien tutkimusten tuloksista löytyy selkeitä yhtäläisyyksiä: yli puolesta (Tanskassa kaikista) tutkimuksessa mukana olleista organisaatioista pystyttiin tunnistamaan haittaohjelmaliikennettä sisäverkosta, havaitusta haittaohjelmaliikenteestä merkittävä osa on ns. tuntemattomien uhkien aiheuttamaa (perinteiset AV-ohjelmistot eivät tunnista niitä) ja että lähes kaikista tutkituista organisaatioista siirtyi yrityksen dataa hyökkääjälle tutkimusdatan keräyshetkellä.

Merkittävimpänä erona aikaisempiin Tuntematon Uhka tutkimuksiin nähden voidaan pitää mobiililaitteisiin kohdistettujen haittaohjelmien määrän lisääntymistä. Tutkimuksen aikana havaituista mobiilihaittaohjelmista 93% toimi Android-alustalla ja loput 7% iOS-alustalla. Aiemmin toteutetuissa tutkimuksissa mobiililaitteisiin kohdennettujen haittaohjelmien aiheuttama liikenne on ollut vähäistä, eikä sitä ole merkittävästi tunnistettu. Tämä saattaa myös johtua siitä, että Suomessa organisaatioiden mobiilikäyttäjät ovat usein eriytetty sisäverkosta ja että mobiililaitteisiin hyökkäävien haittaohjelmien määrä on kasvanut viimeisen 1.5 vuoden aikana.Toinen Tanskan tutkimuksen merkittävä huomio on, että 94 % kaikista havainnoista aiheutui kontrolloimattomista päätelaittesta (päätelaitteista joiden tietoturva-asetuksia ei ole vahvistettu tai ne ovat loppukäyttäjän vastuulla). Toisaalta, 74 % havainnoista, jotka syntyivät kontrolloiduista päätelaitteista olivat riskiltään merkittäviä tai kriittisiä.

Päätelaitteeseen asetettujen tietoturvakontrollien merkitys
Tuntematon Uhka Tanskassa tutkimuksen perusteella mobiililaitteisiin kohdistettujen haittaohjelmien määrä on lisääntynyt aikaisempiin Suomessa ja Ruotsissa toteutettuihin tutkimuksiin nähden. Havaitut hyökkääjät olivat myös entistä motivoituneempia tavoittelemaan rahallista hyötyä toimistaan. Tutkimuksessa selviää, että jo perustason tietoturvakontrollit vähentävät huomattavasti haittaohjelmatartuntojen määrää - on parempi toteuttaa edes perustason suojausmekanismit kuin olla tekemättä mitään.Tutkimuksen aikana havaittiin, että osa organisaatioista kärsii edelleen ylimmän johdon tuen puutteesta tietoturvan suhteen (tämä ei kuitenkaan tarkoita, että ylintä johtoa ei kiinnosta).

Mitä tämä kaikki käytännössä tarkoittaa? Tärkeintä olisi muuttaa työntekijöiden ajatusmaailmaa - tietoturvan ei tarvitse olla toimintaa vaikeuttava taakka, vaan se voi olla kilpailuetu, jonka johdosta asiakkaat valitsevat teidät. Hyvin toteutettu tietoturva myös tukee liiketoimintaa paremmin, jolloin esimerkiksi IT-järjestelmien vioista ja onnistuneista hyökkäyksistä aiheutuvat kustannukset ovat pienemmät. Usein tämä myös tarkoittaa parempaa mahdollisuutta siirtyä käyttämään uusia digitaalisia palveluita ja kykyä tehostaa omaa liiketoimintaa.

-Jesse

maanantai 20. huhtikuuta 2015

Tietoturvatasot – Arvioidaanko yksi, neljä vai kahdeksan Vahti-ohjetta?

Tietoturvatasot, ah  tuo meille monelle niin rakas ja tuttu aihe. Kukapa ei olisi kuullut "legendaarisesta" Vahti 2/2010 ohjeesta ja sisältämistä kontrolleista?  Noh, siitä huolimatta, että tietoturvatasot ovat niin tuttu juttu, niin silti ajattelin kirjoittaa niistä mutaman sanasen.

1. heinäkuuta 2010 annettiin Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa [1]. Tämä asetus on siinä mielessä erittäin merkityksellinen, että kyseisessä asetuksessa säädetään ”valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista”. Asetuksen 5 §, tietoturvallisuuden perustason toteuttaminen, määrittää 10 kohtaa, jotka organisaatioiden tulee toteuttaa tietoturvallisuuden perustasolla. Tämän lisäksi asetuksessa on lukuisia muita vaatimuksia, jotka tulee huomioida eri suojaustasojen käsittelysäännöissä. Tietoturvallisuusasetus tuli voimaan 1.10.2010. Asetukseen sisältyi siirtymäaika, jonka mukaisesti organisaatioiden tuli saavuttaa asetuksen 5 §:ssä säädetty perustason 30.9.2013 mennessä.

Koska asetus määrittää perustason vaatimukset vain ja ainoastaan ylätasolla, niin tämä aiheutti merkittävän määrän kysymyksiä kuinka asetuksen vaatimukset tulee täyttää. Tätä ongelmaa poistamaan laadittiin Vahti-ohje 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta. Erityisen vahvan aseman on saanut ohjeen liite 5, jossa määritellään erilaisia vaatimuksia perustasolle, korotetulle tasolle ja korkealle tasolle. Tästä liitteestä onkin tullut synonyymi tietoturvatasojen vaatimuksille. Osin tämä johtuu siitä, että ohjeen julkaisun jälkeen suurin osa tietoturvatasoauditoinnesta on toteutettu vain kyseisen liitteen 5 kontrolleja vastaan.

Hämmentävää kyllä, mutta käsitykseni mukaan tietoturvatasojen korotettua tasoa tai korkeaa tasoa ei ole virallisesti määritelty missään. Perustason vaatimukset löytyvät siis asetuksesta, mutta korotetun tai korkean tason vaatimuksia ei ole määritelty. Tämän johdosto on yleisesti katsottu, että Vahti 2/2010 Liite 5:n vaatimukset *ovat* korotetun ja korkean tason vaatimukset.

Tietoturvatasot - auditointinäkökulma 

Mielenkiintoiseksi kysymys menee siinä vaiheessa, kun pohdimme mitä kriteeristöä vastaa organisaatio tulee auditoida tietoturvatasoauditoinnissa. Klassinen tulkinta on, että tällöin käytetään vain Vahti 2/2010 liitteen 5 vaatimuksia. Kuitenkin, mikäli organisaatio auditoidaan tietoturvatasoja vastaan viranomaisauditointina, niin tällöin auditoinnissa tulee arvioida 2/2010 lisäksi seuraavien Vahti-ohjeiden täyttyminen [2]:
  • Sisäverkko-ohje (VAHTI 3/2010), 
  • Teknisen ICT-ympäristön tietoturvataso-ohje (VAHTI 3/2012) ja 
  • Valtionhallinnon toimitilojen tietoturvaohje (VAHTI 2/2013). 
(Kannattaa myös huomata, että tällöin korotetun tai korkean tason ympäristö ei saa olla suoraa yhdessä internettiin [3].)

Ja jotta asiaa saataisiin vielä hämmennettyä, niin uusi Vahti 2/2014 Tietoturvallisuuden arviointiohje määrittää [4], että tietoturvatasovaatimuksia toteutettaessa ja arvioitaessa on huomioitava VAHTI 2/2010 -ohjeen lisäksi erityisesti seuraavat ohjeet:
  • VAHTI 3/2010 Sisäverkko-ohje,
  • VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohje, 
  • VAHTI 3/2012 Teknisen ympäristön tietoturvataso-ohje, 
  • VAHTI 1/2013 Sovelluskehityksen tietoturvaohje, 
  • VAHTI 2/2013 Toimitilojen tietoturvaohje,
  • VAHTI 4/2013 Henkilöstön tietoturvaohje ja 
  • VAHTI 5/2013 Päätelaitteiden tietoturvaohje.
Vahti 2/2014 ohjeesta tulee huomata, että "arviointioh­jeen tavoitteena on tukea,kehittää ja lisätä valtionhallinnon tietoturvalli­suuden arviointeja. Ohje on valtionhallinnon tietoturvallisuuden arviointien yleisohje ja se korvaa aikaisernmat ohjeet Tietoturvallisuuden arviointi val­tionhallinnossa, VAHTI 8/2006 sekä Tietoturvallisuuden hallintajärjestelmien arviointisuositus,VAHTI 3/2003".
Jos siis olen menossa auditoimaan tietoturvatasoa vastaan, niin montako kontrollia minun tulee katsoa ja mistä ohjeista???


Edellisen pohjalta olen kerännyt oheiseen taulukkoon yhteenvedon eri auditointivaatimuksista.

(Kiitokset Kari Saarelaiselle taulukkoajatuksesta)

Taulukkoa tulkintaan niin, että rivillä 1 on ”perinteinen” tietoturvatasoauditointi. Rivillä 2 on tietoturvatasoauditointi, jolla tähdätään viranomaishyväksyntään tietoturvatasojen mukaisesti. Rivillä 3 on tietoturvatasoauditointi Vahti 2/2014 mukaisesti. Vastaavasti taulukon sarakkeet osoittavat mitkä Vahti-ohjeista tulee missäkin auditoinnissa huomioida. Taulukkoa on myös yksinkertaistettu sen verran, että taulukosta ei näy miten uudet Vahti-ohjeet korvaavat vanhempia ohjeita (Esimerkiksi Vahti 5/2013 korvaa osittain Vahti 3/2010 vaatimuksia päätelaitteiden osalta).

Bonuksena taulukkoon on merkitty myös KATAKRI-auditoinnit. Kuten taulukosta havaitaan, niin KATAKRI-kriteeristöjä ei sovelleta missään tietoturvataso-auditoinnissa.


Näin ollen, jos organisaatio on arvioitu tietoturvatasoja vastaan ennen vuotta 2015, niin tällöin organisaatio on hyvin todennäköisesti arviotu pelkästään Vahti 2/2010 liite 5 ohjetta vastaan. Mikäli organisaatio haluaa, että se arvoidaan tietoturvatasoja vastaan 2015 tai tämän jälkeen, niin arvioinnissa tulee ensin määrittää halutaanko viranomaishyväksyntä tietoturvatasojen mukaisesti vai riittääkö pelkkä "tietoturvatasoauditointi". Jos päädytään, että viranomaishyväksyntää ei tarvita, niin tällöin tulee määrittää mitkä Vahti-ohjeet arvioinnissa tulee huomioida (tai ainakin määrittää toteutetaanko  auditointi Vahti 2/2010 vai 4/2014 mukaisesti).

Entäs korotettu taso? 

Laki ei määritä suoraan, mitkä velvoitteet organisaation tulee täyttää, mikäli se haluaa täyttää korotetun tason (tai korkean tason) vaatimukset. Näin ollen jokaisen tietoturvatasoaudioinnin yhteydessä on äärimmäisen tärkeää määrittää yksikäsitteisesti, mitkä Vahti-ohjeet tulee ottaa mukaan ja minkä tason vaatimuksia tulee tarkastella. Samoin, mikäli olet hankkimassa palveluja ja haluat palvelun olevan jonkun ”tietoturvatasojen” mukainen, niin sinun tulee muistaa huomioida yllä mainitut vaihtoehdot.

Terveisin
Antti


tiistai 24. maaliskuuta 2015

KPMG:n ja kumppaneiden Tietoturvaseminaari 4.6.-5.6.2015




 




Toivotamme teidät lämpimästi tervetulleeksi KPMG:n perinteiseen ja maineikkaaseen tietoturvaseminaariin, joka järjestetään tänä vuonna Tallinnassa 4.-5.6.  Tarjolla on tuttuun tapaan hyvä kattaus ajankohtaisia tietoturvallisuuteen liittyviä esityksiä ja mielenkiintoisia keskusteluja, verkostoitumista KPMG:n asiantuntijoiden ja kumppanien kanssa, mukavaa yhdessäoloa unohtamatta! 
Kokoonnumme klo 15.00 lippujen jakoon Länsiterminaalin  toiseen kerrokseen. Laiva lähtee klo 16.30, matkustamme Tallink Superstarin
Comfort-luokassa.

Hinta osallistujille

Majoitus 2hh/huone 240 eur + alv 24%
Majoitus 1hh/huone 290 eur + alv 24%
Hotelli Park Inn by Radisson Central

Osallistujamaksu sisältää laivamatkat, hotelliyöpymisen ja ohjelmaan sisältyvät ruokailut, ruokajuomat sekä seminaariohjelman.

Matkalle mukaan: Passi tai poliisin myöntämä kuvallinen henkilökortti.
Katso ohjelma tästä!
Ohjelma tarkentuu vielä myöhemmin!

Viimeinen ilmoittautuminen 30.4.2015

Lisätietoja Heidi Vaha P 040 5214 030


Ilmoittautuminen



























Facebook
LinkedIn
Blogi

keskiviikko 18. helmikuuta 2015

Tarkastusvaliokunnat haluavat lisää tietoa kyberuhista



KPMG:n uusi Global Audit Committee Survey 2015 käy läpi ja esittää eri markkinoilla ja eri toimialoilla toimivien yritysten tarkastusvaliokuntien prioriteetteja. Päällimmäisenä heidän kiinnostuksen kohteenaan ovat:

  • Globaali taloudellinen ja poliittinen tilanne
  • Sääntely ja julkisen vallan toimenpiteet 
  • Operatiiviset riskit ja
  • Kyberturvallisuus

Tämä ei sinällään ole mikään yllätys, mutta on jälleen yksi hyvä osoitus siitä, että kyberturvallisuus on jo tukevasti organisaatioiden ylemmän johdon agendalla. Hyvää ja mielenkiintoista on havaita myös se, että tarkastusvaliokuntien fokus ei ole enää pelkästään taloudellisen raportoinnin oikeellisuudessa. Sen rinnalle on tullut tarve olla tietoinen ja pystyä vaikuttamaan myös muihin organisaation riskeihin. 

Tutkimuksen mukaan tulevana vuonna valiokunnat haluavat panostaa vielä enemmän kyberriskien ymmärtämiseen ja hallintaan. Tutkimuksesta käy ilmi myös se, että nykyisellään tarkastusvaliokunnat eivät ole tyytyväisiä saamansa kyberuhkiin liittyvän tiedon laatuun. Yritysten tulee siten parantaa kykyään kerätä ja käsitellä relevanttia aiheeseen liittyvää tietoa sekä parantaa tapoja, joilla näitä tietoja esitetään ja raportoidaan ylimmälle johdolle.

KPMG pystyy olemaan avuksi kaikissa kyberturvallisuuteen liittyvissä kysymyksissä ja lisäämään ylemmän johdon ymmärrystä kyberturvallisuudesta esimerkiksi ylemmän johdon kyberturvasparrauksen avulla.

Tarkemmat tiedot ja koko laaja tutkimusaineisto on luettavissa täältä:

perjantai 13. helmikuuta 2015

Legal alert sosiaali- ja terveysalan tietojärjestelmien valmistajille ja Suomessa toimiville edustajille



KPMG osallistui muutama viikko sitten Terveyden- ja hyvinvoinnin laitoksen sekä Viestintäviraston järjestämään info-tilaisuuteen, jossa aiheena oli sosiaali- ja terveydenhuollon järjestelmien auditointi.
Lakiin sosiaali- ja terveydenhuolloin asiakastietojen sähköisestä käsittelystä (159/2007) on lisätty viime vuoden aikana muun muassa uudet 5 a – c luvut tietojärjestelmien olennaisista vaatimuksista ja niiden osoittamisesta, palvelun antajan omavalvonnasta ja tietojärjestelmän vaatimuksenmukaisuuden arvioinnista. Lakimuutosten tarkoituksena on edistää sosiaali- ja terveydenhuollon sähköisessä tietojenkäsittelyssä tietosuojaa ja tietoturvaa sekä tietojärjestelmien yhteen toimivuutta ja toiminnallisuutta säätämällä näitä koskevista vaatimusmäärittelyistä ja valvonnasta.

Lain 19 b §:n perusteella toimialan tietojärjestelmät jaetaan kahteen luokkaan, A ja B.

·       Luokkaan A kuuluvat Kansaneläkelaitoksen ylläpitämät Kanta-palvelut sekä tietojärjestelmät, jotka on tarkoitettu liiettäväksi Kanta-palveluihin joko suoraan tai teknisen välityspalvelun kautta (sähköiseen lääkemääräykseen, Reseptikeskukseen, Lääketietokantaan, Potilastiedon arkistoon ja tiedonhallintopalveluun sekä Omakanta-palveluun liittyviä tietojärjestelmiä). Kyseisiä tietojärjestelmiä on viranomaisten mukaan nyt noin 100.
·       Muut tietojärjestelmät kuuluvat luokkaan B.

Laissa ja sen perusteella annetussa Terveyden- ja hyvinvoinnin laitoksen tarkentavassa määräyksessä (THL määräys 2/2015) liitteineen määritellään tarkoin, mitä kumpaankin luokaan kuuluvilta tietojärjestelmiltä edellytetään. Luokan A tietojärjestelmiä ei voida jatkossa ottaa lainkaan käyttöön, ellei siitä, että ne täyttävät mm. tietoturvallisuudelle asetetut lakisääteiset vaatimukset, voida varmistua. Myös kyseisten järjestelmien olennaiset päivitysten vaatimuksenmukaisuus tulee jatkossa tarkastaa.  Lain 19 k §:n perusteella vaatimuksenmukaisuuden voi tarkastaa ainoastaan hyväksytty tietoturvallisuuden arviointilaitos. Toistaiseksi lakisääteinen hyväksyminen on ainoastaan KPMG IT Sertifiointi Oy:llä. Arviointi tehdään tietojärjestelmän valmistajan hakemuksesta eli meillä valmistajan tai sen Suomalaisen edustajan toimeksiannosta. Kyselyt asiasta [sertifiointi at kpmg.fi]

Luokkaan B kuuluvien tietojärjestelmien vaatimuksenmukaisuus osoitetaan tietojärjestelmän valmistajan kirjallisella selvityksellä. Molempia järjestelmätyyppejä koskee myös laissa määritelty omavalvontavelvollisuus. Siksi on syytä muistaa, että molempien luokkien tietojärjestelmien mm. tieturvallisuuden tasoa on myös jatkuvasti ylläpidettävä.

Kerromme mielellämme lisää:

Auditoinnit:                                                                                         Lakiasiat:
Olli Knuuti                                                                                           Vesa Ellonen               
Manager                                                                                               Legal Councel
p. 020 760 3430                                                                                     p. 020 1760 3125
e-mail. olli.knuuti at kpmg.fi                                                                e-mail:vesa.ellonen at kpmg.fi