Uploaded image for project: 'Ideapankki'
  1. Ideapankki
  2. CSCIDEAPANKKI-40

Kokeilu lokirekisteripalvelusta

    XMLWordPrintable

    Details

      Description

      Tutustu Ideapankki-palveluun osoitteessa ideapankki.csc.fi

      Idea: Kokeilu lokirekisteripalvelusta

      Statuspäivitykset listattuna kuvausten alla.

      Kuvaus: Toteutettaisiin kokeilu yhteisestä lokirekisteripalvelusta. Tietosuoja-asetuksen ja esitetyn tiedonhallintalakiluonnoksen myötä lokitietojen hallinta on järjestettävä henkilötietojen käsittelyn osalta. Käytännössä operatiivisista järjestelmien, kuten Peppi-palveluiden, ulkopuolelle olisi tallennettava tiedot henkilötietojen katseluista, käsittelyistä ja luovutuksista. Käytännössä muuttumattomuuden varmistamiseksi tallennus tehtäisiin operatiivisen ympäristön ulkopuolelle, esim. off-site.

      CSC tarjoaisi alustan, jossa korkeakoulujen järjestlmien lokitietoja voitaisiin säilyttää ja järjestelmiä kehittävät tahot toteuttaisivat lokitietojen keräämis- ja siirtämistoiminnallisuudet. Soveltuvin osin yhteistyössä määritettäisiin tietosuoja-asetuksen ja ehdotetun tiedonhallintalain mukaisesti säilytettävät lokitiedot ja miten ne erotetaan tallentamista varten. Lokitietojen säilyttäminen ja säilytysajat on määräytyvät eri tietosisältöjä koskevien säännösten mukaan eli bulkkisäilytys ei käy.

       
      Liitetty tietoa CSCIDEAPANKKI-81 Lokitietojen hallinta korkeakouluissa tiketistä (duplikaatti tiketti arkistoitu):

      Kuvaus: Korkeakoulujen tietojärjestelmien tuottamien lokitietojen hallinta määritetään uudessa lainsäädännössä (voimaan 1.1.2020), ainakin niiltä osin missä henkilötiedot ovat kyseessä. Tästä syystä korkeakoulujen on pyrittävä löytämään tekninen lokitietojen hallintaratkaisua mahdollisimman nopeasti.

      Tällä hetkellä osassa korkeakouluja on käytössä eri tyyppisiä ratkaisuja lokitietojen hallintaan, mutta nyt tavoitteena on löytää ratkaisu, joka voisi toimia yhteisenä alustana usealle korkeakoululle lokitietojen hallintaan. Yhteisen ratkaisun kautta uskotaan asiaan liittyvien korkeakoulujen määrän olevan merkittävä.

      Ratkaisuehdotuksia:

      1) CSC järjestää teknisen alustan lokitietojen tallennuspalvelulle

      1b) Korkeakoulut pilotoivat eri palveluja CSC:n tarjoaman alustan tuella

      2) CSC kilpailuttaa lokitietojen hallintapalvelun korkeakoulujen käyttöön

      3) Jokainen korkeakoulu hankkii oman lokitietojen hallintapalvelun (Huonoin vaihtoehto)

      4) Eri ratkaisuvaihtoehtojen (palvelujen) testaus ja raportointi CSC:n tai korkeakoulujen tai yhteistyön nimissä

      Aikataulu: jos pilotointi saataisiin käyntiin 2019, niin seuraavaksi selvitettävä asia on korkeakouluilta vaadittavien resurssien määrä. 2020 pitäisi päästä pilotoinnin loppuraportin kautta itse hankintaprosesiin.

      Tarjolla olevista palveluista: Microsoft, Google ovat tuomassa omia lokitietojen hallintaan liittyviä palveluja. Tällä hetkellä on käyty keskusteluja eri kaupallisten toimittajien kanssa.

      2020-05-14 Ideatoimikunnan kokous

      • Tutkimushankedokumentaatio jaetaan ideatoimikunnan sähköpostijakelulistan kautta
      • Idea siirretty 'Esiselvityksessä' -tilaan

      2020-05-07 Tilannetieto 

      • Funetin SEC-ryhmässä on ajeteltu toteuttaa rajattu tutkimuslähtöinen pilotti lisätiedon saamiseksi. Kyseessä ei ole hankintaprojekti, työryhmän mukaan sellaisesta tulisi sopia erikseen kun pilotin tulokset ovat käytettävissä. Mukana pilotissa ovat TUNI, OY ja CSC.

       

      2020-02-07 Ideatoimikunnan kokous

      • Annettu tiedoksi, että alustavaihtoehtojen alustavia hintoja löytyy tämän tiketin kommenteista kirjautuneille käyttäjille.

       

      2020-02-05 Päivitys

      • Kokeilijat ovat selvittäneet CSC:n kanssa erilaisten alustavaihtoehtojen hinnoittelua. Varsinainen lokirekisteripalvelu ei ilmeisesti ole muuten edennyt.

       

      2019-12-05 Ideatoimikunnan kokous

      • Todettiin, että kokeillaan tietyn toimittajan lokitietoratkaisua, Oulun yliopiston Kaarlo Määttä toimii yhteyshenkilönä korkeakoulujen yhteishankinnalle. CSC toimittaa hinta-arvion alustan sijoittamisesta. Liittyy ideaan CSCIDEAPANKKKI-81

       

      2019-11-22 Ideatoimikunnan kokous

      • Nostettiin esiin, että LY:lla + LapinAMK lokipalvelu/lokien hallintajärjestelmän hankinta edessä ensi vuonna. CSC:llä myös tarve uudelle hankinnalle kun puhutaan lokeista.
      • Keskustelu:
      • Tiketillä oleva 3. ratkaisuvaihtoehto "Jokainen korkeakoulu hankkii oman lokitietojen hallintapalvelun" → huono tehdä yksin
      • 8.11. tiketille päivitetty tieto käynnissä olevista neuvotteluista - onko edennyt? Mitkä korkeakoulut ja yritys mukana?
      • Todettiin, että mikäli korkeakoulut jakavat tietoa keskenään, ratkaisuvaihtoehto 3. ei ole huono

      Päätettiin nostaa 5.12. ideatoimikunnan asialistalle tarpeen selvittämiseksi.: ketkä ovat kiinnostuneet hankkimaan, mitä ja miten. Kokouskutsu lähetetään tiedoksi pääsihteerien kautta tietohallinnon verkostoille, ja CSC:n toimesta kutsutaan SEC- ja SIEM-ryhmän jäsenet.

       

      2019-11-08 päivitys 

      • Eräiden korkeakoulujen tietoturvaajat neuvotelleet yrityksen kanssa SIEM-SOC palvelujen hankinnasta

       

      2019-10-25 Ideatoimikunnan kokous

      • Tilannetietoa on täydennetty tiketille https://jira.eduuni.fi/browse/CSCIDEAPANKKI-81 . Todettiin, että tiketit tulee yhdistää ja täydentää tiketille lisätietoa. 
      • Ideoista jää voimaan tämä tiketti tilaan 'Tarkennettavana'. 

       

       

      2018-11-26 Päivitys 

      Maria Seppänen keskusteli Peppi-konsortion toiminnanjohtajan Tuomas Oraman kanssa, joka lupasi viedä asian keskusteltavaksi konsortion tekniselle ryhmälle.

       

      2018-11-14 Päivitys

      Sami Kinnunen kertoi, että SIEM-porukka työstää asiaa laajasta näkökulmasta: loki-politiikka, säilytysajat, ym. muuta linjaukset, mutta kun nämä tarkentuvat niin sopivia teknisiä ratkaisuja sekä työkaluja on tarkoitus haarukoida myös. Voisi olla hyvä pyytää status-check ja lyhyt keskustelu joko tälle tai fucio/aapa-foorumeille.

       

      2018-11-01 Ideatoimikunta

      • Ehdotetaan esiselvitettäväksi Peppi-konsortiolle. Jos asialle ei löydy omistajaa, ehdotus arkistoidaan. (Maria Seppänen on yhteydessä Peppi-konsortion toiminnanjohtaja Tuomas Oramaan toimikunnan ehdotuksesta konsortiolle.)
      • Asiaan liittyy SIEM-verkoston toiminta ja Idea https://jira.eduuni.fi/browse/CSCIDEAPANKKI-10. Ari Hovila on yhteydessä verkoston Sami Kinnuseen pyytää mahdollista päivitystä tähän tai liittyvään ideaan.
      • Ideaan liittyy myös idea Opintotietojen lakisääteinen säilyttäminen https://jira.eduuni.fi/browse/CSCIDEAPANKKI-5. (Asia on kytketty tiedoksi Aallon Ani-Jatta Immoselle Ideatoimikunnan linjauksen mukaisesti) **
      • Lokitietojen hallinta tulee tiedonhallintalaista johtuen ajankohtaiseksi kaikille organisaatioille, joten idean tärkeys tunnistettiin. Ideaa ei kuitenkaan voida vielä eteenpäin, ellei sille löydy omistajaa.
      • Todettiin, että asian esiselvitystä voisi ehdottaa joko Peppi- tai Sisu-konsortioille. Ei tällä hetkellä sovellu Sisu-konsortion agendalle, ehdotetaan Peppi-konsortiolle. Peppi myös tuottaa jatkuvasti suuren määrän lokitietoa, joten idealla esitetty tarve tulossa mitä luultavammin vastaan, ja sopisi hyvin kehityshankkeena pilotoitavaksi. Peppi-konsortion mahdollisesti toteuttama pilotti hyödyttäisi koko korkeakoulutuksen kenttää.  Tarvittaessa esiselvitystä voidaan ehdottaa myös AAPA- ja FUCIO-työvaliokunnille.

      TAUSTA

      13.6.2017 AAPA ja CSC sopivat, AAPAn konesalipilotin pohjalta, että pohditaan uutta kokeilua. Tunnistettu, mahdollinen sisältö oli tietosuoja-asetukseen liittyen "lokitietojen hallintapalvelu", jossa operatiivisten järjestelmien lokitietoja säilytettäisiin yhteisessä, CSC:n tuottamassa palvelussa, Peppi-järjestelmä oli esillä ensimmäisenä lokitietojen lähteenä.

      4.10.2017 AAPA:n, FUCION:n ja CSC:n yhteiskokouksessa esiteltiin aihio "Lokitietojen back-up -palvelu" (liite-kuva) kehitettäväksi Funet-lisäpalveluksi.

      6.2.2018 Korkeakoulujen SIEM-yhteistyöverkosto (SIEM = Security Information and Event Management) kanssa jatketun valmistelun myötä esiteltiin "esiselvitys korkeakoulujen lokitietojen käsittelystä" (liite-esitys), jossa huomio oli keskittynyt laajempaan lokitietojen hyödyntämiseen. Ehdotus sovittiin vietäväksi kehittyvään Ideapankkiin.

      14.6.2018 Ideatoimikunnan ratkaisuna CSC koulutuskalenteriin ehdotettiin liitetäväksi lokitietojen hallinta, SIEM, Greylog ja tietoturva -aiheisiin liittyviä työpajoja ja koulutuksia (CSCIDEAPANKKI-10). Alkuperäisestä yhteisestä operatiivisten järjestelmien, kuten Pepin, lokitietotojen säilyttämisestä laajentunut Idea ei enää puhunut.

      LUONNOS HALLITUKSEN ESITYKSESTÄ TIEDONHALLINTALAIKSI

      18 §. Lokitietojen kerääminen. Pykälässä säädettäisiin tietojärjestelmien lokitietojen keräämisestä, jos tietojärjestelmässä olevat tiedot ovat salassa pidettäviä tai sisältävät henkilötietoja. Lokitiedot ovat pääosin henkilötietoja, joten niiden sääntelyssä on otettava huomioon tietosuojan yleissääntely. Lokitiedot ovat osa viranomaisten tietojärjestelmien tietoturvajärjestelyjä, joten ne ovat salassa pidettäviä julkisuuslain 24 §:n 1 momentin 7 kohdan perusteella, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista. Lokitietojen keräämisen tarkoituksena ja perusteena on toteuttaa viranomaisten tietojärjestelmien tietoturvallisuutta siten, että lokitietojen perusteella voidaan selvittää virhetilanteita ja valvoa tietojärjestelmien käyttöä ja niistä luovutettavia tietoja. Näistä syntyy tietojärjestelmien käyttölokit ja luovutuslokit. Lokirekisteri on tietojärjestelmien ja käyttäjien toimintaa kuvaava pääsääntöisesti henkilötietoja sisältävä rekisteri. Tästä syystä lokitietojen käyttötarkoitus olisi määritelty pykälän ensimmäisessä virkkeessä ja sääntely kohdistuisi viranomaiseen, joka vastaa muun muassa rekisterinpitäjänä tietojenkäsittelyn valvonnasta ja valvontamenetelmistä. Pykälän mukaan viranomaisen olisi kerättävä tarpeelliset lokitiedot tietojärjestelmiensä käytöstä ja niistä tehtävistä tietoluovutuksista teknisen rajapinnan tai katseluyhteyden avulla. Säännöksen perusteella viranomaisen tulisi suunnitella lokitietojensa käsittely tavalla, jossa on arvioitu, miltä osin tietojärjestelmien käyttöä kuvaavat lokitiedot ovat tarpeellisia käyttötarkoitukseensa nähden. Lokitietojen kerätään tietojärjestelmien käytöstä, jolla tarkoitetaan tietojen tallentamista, muuttamista, poistamista, katselua tai muuta tietoihin kohdistuvaa toimenpidettä. Pykälässä ei säädettäisi lokitietojen tiedonsaannista, vaan se ratkaistaisiin julkisuuslain tai erityislakien perusteella. Pykälä ei sisältäisi myöskään lokitietojen säilytysaikaa koskevaa säännöstä, vaan lokitietojen säilytysaika määritellään tarpeellisuusvaatimus huomioon ottaen siten kuin muistakin tietojen säilyttämisestä. Yleisesti lokitietojen säilytysaika on tyypillisesti vähintään viisi vuotta viranomaistoiminnassa rikosoikeudellisten vanhentumisaikojen vuoksi. Erityislainsäädännössä voi olla säädettynä erikseen lokitietojen säilytysajoista erityisesti, jos lokitietoja säilytetään pitempiä aikoja kuin on tarpeen viranomaisella olevien velvollisuuksien toteuttamiseksi.

        Attachments

          Issue Links

            Activity

              People

              Assignee:
              e105097 Janne Oksanen
              Reporter:
              e100717 Tuomas Orama
              Votes:
              10 Vote for this issue
              Watchers:
              17 Start watching this issue

                Dates

                Created:
                Updated: