Valtion konesalistrategia 2014
Valtion konesali- ja kapasiteettipalvelustrategia ICT-toiminta 15/2014 Valtion konesali- ja kapasiteettipalvelustrategia ICT-toiminta 15/2014 � Valtion konesali- ja kapasiteettipalvelustrategia
Valtiovarainministeriön julkaisuja
15/2014
IICT-toiminta
� 441 729 Painotuote
VALTIOVARAINMINISTERIÖ PL 28 (Snellmaninkatu 1 A) 00023 VALTIONEUVOSTO Puhelin 0295 16001 (vaihde) Internet: www.vm.fi Taitto: Pirkko Ala-Marttila /VM-julkaisutiimi Kansikuva: CSC Tieteellinen Laskenta Oy Kajaanin tietokonekeskus
Juvenes Print - Suomen Yliopistopaino Oy, 2014
� Kuvailulehti
Julkaisija ja julkaisuaika Valtiovarainministeriö, huhtikuu 2014
Tekijät Yrjö Benson, Kari Pessi ja Tuomo Pigg
Julkaisun nimi Valtion konesali- ja kapasiteettipalvelustrategia
Asiasanat Valtion tietohallinto, julkisen hallinnon ICT-strategia, konesalit ja
pilvipalvelu
Julkaisusarjan nimi ja numero Valtiovarainministeriön julkaisuja 15/2014
Julkaisun myynti/jakaja Julkaisu on saatavissa pdf-tiedostona osoitteesta www.vm.fi/julkaisut.
Samassa osoitteessa on ohjeet julkaisun painetun version tilaamiseen.
Painopaikka ja -aika Juvenes Print - Suomen Yliopistopaino Oy, 2014
ISBN 978- 952-251-563-6 (nid.)
ISSN 1459-3394 (nid.)
ISBN 978-952-251-564-3 (PDF)
ISSN 1797-9714 (PDF)
Sivuja
40
Kieli
Suomi
Tiivistelmä
Strategian visio on: Valtion virastoilla ja laitoksilla on käytettävissään kustannustehokkaat, tietoturvalliset, ekologiset
ja arkkitehtuurin mukaiset konesali- ja kapasiteettipalvelut, jotka kattavat palveluiden käyttäjien tarpeet.
Vision toteuttamiseksi strategiassa on määritelty viisi strategista linjausta:
1. Valtio tuottaa itse korkeita varautumisen vaatimustasoja ja/tai korkeita tietoturvallisuuden suojaustasoja
vaativat konesali- ja kapasiteettipalvelut. Valtion itse hoitamat palvelimet keskitetään kustannustehokkaasti
nykyistä oleellisesti pienempään määrään konesaleja.
2. Valtio kilpailuttaa matalampien varautumisen vaatimustasojen ja tietoturvallisuuden suojaustasojen konesali-
ja kapasiteettipalvelut.
3. Valtion konesalit ja toimittajien konesalit, joissa on merkittäviä valtion järjestelmiä, muodostavat yhtenä
kokonaisuutena hallitun konesaliverkoston, jossa kapasiteetin dynaaminen hallinta, palvelujen jatkuvuus,
tietoliikenne ja turvallisuus on optimoitu.
4. Sekä itse tuotetuissa että kilpailutuksen kautta ostetuissa palveluissa siirrytään erillisistä ja sovelluskohtaisista
palvelimista kohti yhteiskäyttöisen kapasiteetin eli pilvipalveluiden käyttämistä. Tämän avulla yksikkökustannuksia
alennetaan, kehittämishankkeita nopeutetaan, skaalautuvuutta helpotetaan ja käytettävyyttä
parannetaan.
5. Valtion tieto- ja viestintätekniikkakeskus Valtori tarjoaa asiakkailleen vakioituna palveluna edellisten kohtien
1-4 palveluja. Asiakas voi hankkia näitä palveluita Valtorista helposti ja ilman kilpailutusta
Strategia on osa julkisen hallinnon ICT:n hyödyntämisen strategiaa 2012 - 2020.
� Presentationsblad
Utgivare och datum Finansministeriet, april 2014
Författare Yrjö Benson, Kari Pessi ja Tuomo Pigg
Publikationens titel Valtion konesali- ja kapasiteettipalvelustrategia
Publikationsserie
och nummer Finansministeriet publikationer 15/2014
Beställningar/distribution Publikationen finns på finska i PDF-format på www.vm.fi/julkaisut.
Anvisningar för beställning av en tryckt version finns på samma adress.
Tryckeri/tryckningsort och -år Juvenes Print – Finlands Universitetstryckeri Ab, 2014
ISBN 978-952-251-563-6 (hft.)
ISSN 1459-3394 (hft.)
ISBN 978-952-251-564-3 (PDF)
ISSN 1797-9714 (PDF)
Sidor
40
Språk
Finska
Sammandrag
Strategins vision: Statens ämbetsverk och inrättningar har tillgång till kostnadseffektiva, datasäkra, ekologiska
och arkitekturenliga maskinsals- och kapacitetstjänster som svarar mot användarnas behov.
För att visionen ska kunna förverkligas har man fastställt fem strategiska riktlinjer i strategin:
1. Staten producerar själv maskinsals- och kapacitetstjänster som svarar mot krav om hög beredskap och/eller
höga datasäkerhetsnivåer. De servrar som staten själv svarar för koncentreras på ett kostnadseffektivt sätt i
ett avsevärt mindre antal maskinsalar än i dagsläget.
2. Staten konkurrensutsätter maskinsals- och kapacitetstjänster som avsetts för lägre beredskapskravnivåer
och dataskyddsnivåer.
3. Statens maskinsalar och leverantörernas maskinsalar med betydande statliga system utgör ett helhetskontrollerat
nätverk av maskinsalar där dynamisk kontroll av kapaciteten, servicens kontinuitet, datatrafik och
säkerhet har optimerats.
4. Både vid själv producerade och konkurrensutsatta tjänster övergår man från särskilda och tillämpningsspecifika
servrar mot gemensamt utnyttjad kapacitet, dvs. molntjänster. På så sätt kan man minska på enhetskostnader,
påskynda utvecklingsprojekt, underlätta skalbarhet samt förbättra användbarheten.
5. Statens center för informations- och kommunikationsteknik Valtori erbjuder de i punkterna 1-4 avsedda
tjänsterna i form av standardiserade tjänster åt sina kunder. Kunden kan skaffa dessa tjänster från Valtori
enkelt och utan anbudstävling.
Strategin är ett led i strategin för utnyttjandet av den offentliga förvaltningens ICT 2012-2020.
� Description page
Publisher and date Ministry of Finance, April 2014
Author(s) Yrjö Benson, Kari Pessi ja Tuomo Pigg
Title of publication Valtion konesali- ja kapasiteettipalvelustrategia
Publication series and
number Ministry of Finance publications 15/2014
Distribution and sale The publication can be accessed in pdf-format in Finnish at
www.vm.fi/julkaisut. There are also instructions for ordering a printed
version of the publication.
Printed by Juvenes Print – Finland University Print Ltd, 2014
ISBN 978-952-251-563-6 (print.)
ISSN 1459-3394 (print.)
ISBN 978-952-251-564-3 (PDF)
ISSN 1797-9714 (PDF)
No. of pages
40
Language
Finnish
Abstract
The strategy’s vision: Central government agencies and institutions have access to cost-effective, secure, ecological
and architecture-based data centre and capacity services that cover the needs of service users.
To implement the vision, the strategy specifies five strategic policy outlines:
1. The central government will itself produce data centre and capacity services that need high contingency
requirement levels and/or high information security protection levels. Servers managed by the central
government itself will be centralised cost-effectively in a significantly smaller number of data centres than
at present.
2. The central government will establish a competitive tendering process for data centre and capacity services
with lower contingency requirement levels and lower information security protection levels.
3. Central government data centres and data centres of suppliers that contain significant central government
systems will form a data centre network, managed as a single entity, in which the dynamic management of
capacity, service continuity, telecommunications and security have been optimised.
4. In both self-generated services and services purchased through competitive tendering, the goal will be
to move from separate and application-specific servers towards the use of shared capacity, namely cloud
services. In this way, unit costs will be reduced, development projects accelerated, scalability facilitated and
accessibility improved.
5. The Government ICT Centre Valtori will offer its customers the services of the above items 1–4 as a standardised
service. Customers will be able to acquire these services from Valtori easily and without competitive
tendering.
The strategy is part of the Public Sector ICT Utilisation Strategy 2012–2020.
� Sisältö
1 Yhteenveto................................................................................................................. 11
1.1 Visio 2020......................................................................................................11
1.2 Strategiset linjaukset......................................................................................11
2 Nykytila......................................................................................................................13
2.1 Tausta............................................................................................................13
2.2 Valtion konesalit............................................................................................14
2.3 Virtualisointiaste...........................................................................................14
2.4 Asiakasnäkökulma.........................................................................................15
2.5 Liiketoimintanäkökulma...............................................................................15
2.6 Toimialariippumattomat ja toimialasidonnaiset ICT-palvelut .......................16
2.7 Tietoturvallisuus ja varautuminen.................................................................16
2.8 Käytettävyys .................................................................................................17
2.9 Muut hankkeet..............................................................................................17
3 Tavoitetila..................................................................................................................19
3.1 Julkisen hallinnon ICT-strategia ja konesalien lukumäärä.............................19
3.2 Palveluiden tuottajat .....................................................................................20
3.3 Varautumisen ja tietoturvallisuuden merkitys...............................................21
4 Jatkotoimenpiteet.....................................................................................................25
4.1 Palvelimien sijainti........................................................................................25
4.2 Vaatimuksia toimivalle konesalitilalle............................................................25
4.3 Kehitettävät ja lopetettavat konesalit..............................................................26
4.4 Yhteiskäyttöinen kapasiteetti.........................................................................26
4.5 Siirtymävaihe.................................................................................................27
4.6 Konesaliverkosto...........................................................................................27
4.7 Strategian toteutuksen seuranta ja ohjaus......................................................28
�
Liitteet................................................................................................................................29
Liite 1 Kapasiteettipalvelut................................................................................29
Liite 2 Varautuminen........................................................................................30
Liite 3 Tietoturvallisuus ...................................................................................33
Liite 4 Käyttöpalvelut........................................................................................34
Liite 5 Tuotantoympäristö.................................................................................35
Liite 6 VALTORI...............................................................................................36
Liite 7 ISO 20000..............................................................................................37
Liite 8 Kokonaisarkkitehtuuri...........................................................................38
�
1 Yhteenveto
1.1 Visio 2020
Valtion virastoilla ja laitoksilla on käytettävissään kustannustehokkaat, tietoturvalliset,
ekologiset ja arkkitehtuurin mukaiset konesali- ja kapasiteettisalipalvelut, jotka kattavat
palveluiden käyttäjien tarpeet.
1.2 Strategiset linjaukset 1. Valtio tuottaa itse korkeita varautumisen vaatimustasoja ja/tai korkeita tietoturvallisuuden suojaustasoja vaativat konesali- ja kapasiteettipalvelut. Valtion itse hoitamat palvelimet keskitetään kustannustehokkaasti nykyistä oleellisesti pienempään määrään konesaleja. 2. Valtio kilpailuttaa matalampien varautumisen vaatimustasojen ja tietoturvallisuuden suojaustasojen konesali- ja kapasiteettipalvelut. 3. Valtion konesalit ja toimittajien konesalit, joissa on merkittäviä valtion järjestelmiä, muodostavat yhtenä kokonaisuutena hallitun konesaliverkoston, jossa kapasiteetin dynaaminen hallinta, palvelujen jatkuvuus, tietoliikenne ja turvallisuus on optimoitu. 4. Sekä itse tuotetuissa että kilpailutuksen kautta ostetuissa palveluissa siirrytään erillisistä ja sovelluskohtaisista palvelimista kohti yhteiskäyttöisen kapasiteetin käyttämistä. Tämän avulla yksikkökustannuksia alennetaan, kehittämishankkeita nopeutetaan, skaalautuvuutta helpotetaan ja käytettävyyttä parannetaan. 5. Valtion tieto- ja viestintätekniikkakeskus Valtori tarjoaa asiakkailleen vakioituna palveluna edellisten kohtien 1-4 palveluja. Asiakas voi hankkia näitä palveluita Valtorista helposti ja ilman kilpailutusta. � 12
�
2 Nykytila
2.1 Tausta Valtiovarainministeriö asetti valtionhallinnon toimialariippumattomien tieto- ja viestintäteknisten tehtävien kokoamiseksi TORI-hankkeen, jonka toimikausi on 7.5.2012 – 31.12.2014. TORI-hankkeen toteuttama, 1.3.2014 perustettu Valtion tieto- ja viestintätekniikkakeskus Valtori tuottaa ja järjestää asiakkailleen tämän strategian tarkastelun kohteena olevat konesali- ja kapasiteettipalvelut.
JulkICT-toiminto asetti ajalle 3.4.2013–20.6.2013 valtion konesalistrategia projektin, jonka tavoitteena oli laatia luonnos valtion konesalistrategiaksi. Tämä strategia on tuon luonnoksen pohjalta tehty valmis strategia.
Strategiatyön aikana on havaittu, että hyödyntämällä yhteiskäyttöisiä kapasiteettipalveluja (ks. liite 1) on mahdollista saada enemmän kustannushyötyjä ja tehokkuutta kuin pelkällä konesalien keskittämisellä. Kapasiteettipalvelujen tehokas hyödyntäminen edellyttää keskittämistä. Keskittämisessä on kuitenkin huomioitava huoltovarmuuden edellyttämä hallittu hajautus, kaikkea konesaleja ei voi keskittää yhteen tai edes muutamaan paikkaan.
Konesali- ja kapasiteettipalveluiden asiakas on valtionhallinto, joka tuottaa näitä palveluja käyttäen tietojärjestelmäpalveluja virkamiehille, kansalaisille ja yrityksille.
Konesalikehityksen yleinen suuntaus on konesalien kokonaismäärän pieneneminen, siirtyminen pienistä konesaleista suurempiin, panostus energiatehokkuuteen ja kapasiteetin hankinta yhteiskäyttöisestä kapasiteetista eli pilvestä. Tämä strategia on näiden yleisten trendien mukainen.
� 2.2 Valtion konesalit Valtion konesalien ja palvelimien lukumäärä hallinnonaloittain vuonna 2013
Hallinnonala Omassa hallinnassa olevat Ulkoistetut Palvelimia yhteensä Konesalit Palvelimet Palvelimia per konesali Konesalit Palvelimet Sisäasiainministeriö 21 1 742 83 3 96 1 838 Valtiovarainministeriö 9 352 39 19 1 330 1 682 Liikenne- ja viestintäministeriö 10 700 70 6 708 1 408 Maa- ja metsätalousministeriö 11 809 74 10 62 871 Työ- ja elinkeinoministeriö 20 605 30 10 163 768 Sosiaali- ja terveysministeriö 11 574 52 12 61 635 Oikeusministeriö 0 0 0 2 355 355 Ympäristöministeriö 3 278 93 0 0 278 Opetus- ja kulttuuriministeriö 15 172 11 14 87 259 Ulkoasiainministeriö 1 93 93 0 0 93 Eduskunta 2 38 19 1 19 57 Puolustusministeriö 17 34 2 1 8 42 YHTEENSÄ 120 5 397 45 78 2 889 8 286
Luvuista puuttuu puolustusvoimat, kansaneläkelaitos ja yliopistot.
2.3 Virtualisointiaste Virtualisoidusta kapasiteetista tai pilvipalveluna hankittava organisaation palvelinkapasiteetti hallinnonaloittain vuonna 2013 on esitetty alla olevassa kuvassa:
100 % Eduskunta 50 % SM MMM PLM VM LVM TEM STM OKM 0 % VNK UM OM YM
Kohdan 2.2 ja 2.3 luvut ovat Tietoja valtion tietohallinnosta 2013 -kyselystä.
� 2.4 Asiakasnäkökulma Merkittävimmät asiakasnäkökulmasta tulevat strategiset tavoitteet ovat:
• Yksikkökustannusten alentaminen • Palveluiden saatavuuden ja jatkuvuuden parantaminen • Hallintakulujen alentaminen • Kapasiteetin säätö joustavasti ylöspäin ja alaspäin • Toimintavarmuuden parantaminen • Tietoturvavallisuuden suojaustasojen ja varautumisen vaatimustasojen mukaiset palvelut (ks. kuvat kappaleessa 3.3) 2.5 Liiketoimintanäkökulma Merkittävimmät konesaliliiketoimintaa ohjaavat tekijät ovat:
• Yksikkökustannukset, kuten laskentakapasiteetti ja tallennustila • Energiakustannukset, päästöenergian hyötykäyttö ja vihreyden vaatimukset, mittarina muun muassa PUE 1 • Jatkuvuusvaatimukset varautumisvaatimusten mukaan • Varavoima (sähkönsyöttö monesta suunnasta, akustot ja generaattorit) varautumisvaatimusten mukaan • Sisään ja ulosmenevän tietoväylän nopeus ja reititys monesta suunnasta varautumis- ja tietoturvavaatimusten mukaan • Fyysinen suojaus varautumis- ja tietoturvavaatimusten mukaan • EMP- ja HPM -suojaus varautumis- ja tietoturvavaatimusten mukaan • Laitteistojen energiatiheyden kasvu • Pilvipalveluiden yleistyminen ja niiden tarjoamat aikaisempaa kustannustehokkaammat ja skaalautuvammat mahdollisuudet (ks. liite 1) PUE, Power Usage Effectiveness on suhdeluku, jolla kuvataan tietokonekeskusten energiatehokkuutta. PUE lasketaan jakamalla konesalin käyttämä kokonaissähköenergia pelkkien IT-laitteiden käyttämällä sähköenergialla. PUE-luvun teoreettinen minimi on 1, joka tarkoittaisi sitä, että tietokonekeskuksessa käytetään sähköä vain IT-laitteisiin eikä lainkaan esimerkiksi jäähdytykseen tai valaistukseen.
� 2.6 Toimialariippumattomat ja toimialasidonnaiset ICT-palvelut Toimialariippumattomilla ICT-palveluilla tarkoitetaan palveluita, joiden tuottaminen tai järjestäminen ei vaadi merkittävää toimialakohtaista osaamista ja jotka perustuvat yleisesti käytettyihin laite- ja ohjelmistoratkaisuihin ja -teknologioihin. Valtion ICT-toiminnan noin 750 miljoonan euron vuotuisista kokonaismenoista noin kolmannes on toimialariippumatonta ICT:tä (TORI) ja noin kaksi kolmasosaa toimialasidonnaista ICT:tä (TOSI), ks. kaaviokuva alla.
TORI TOSI toimialatoimialariippumaton ICT sidonnainen ICT Sovellukset ja tieto Valtorin palvelu Virasto hankkii palvelun itse Konesali- ja kapasiteettipalvelut Valtorin palvelu Valtorin palvelu IaaS ja PaaS
Infrastructure as s Service (IaaS) ja Platform as a Service (Paas) on kuvattu tarkemmin liitteessä 1.
2.7 Tietoturvallisuus ja varautuminen Asetus tietoturvallisuudesta valtionhallinnossa (681/2010) tuli voimaan 1.10.2010. Teknisen ICT-ympäristön tietoturvataso-ohje 3/2012 on osa asetuksen täytäntöönpanon ohjausta. Ohje esittää seikkaperäisesti esimerkein myös konesali-/kapasiteettipalveluilta vaadittavia tietoturvavaatimukset 2 (ks. liite 2 varautumisen tasot ja liite 3 tietoturvallisuuden tasot).
2
Teknisen ICT-ympäristön tietoturvataso-ohje 3/2012 http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/ 01_julkaisut/05_valtionhallinnon_tietoturvallisuus/20121122Teknis/ICT_taitto.pdf
� 2.8 Käytettävyys JHS 174 3 ICT-palvelujen palvelutasoluokitus (ks. liite 4) sisältää käytettävyysluokitukset palvelimille. Suositus vaatii päivityksen erityisesti siltä osin, että sen vaatimustasot loppuvat kesken kriittisimpien ICT-palveluiden suhteen.
2.9 Muut hankkeet Valtorin tehtäviin sisältyy konesali- ja kapasiteettipalveluiden tuottaminen valtionhallinnolle palvelukeskuksen palvelukartan mukaisesti (ks. liite 6). Valtori tulee vastaamaan myös korkean varautumistason ja salaisen tiedon käsittelyn konesalipalveluiden tuottamisesta.
Hanselin tekemän konesali- ja kapasiteettipalvelukilpailutuksen tuloksena valtionhallinnolla
on käytettävissään kaupalliseen ratkaisuun perustuva skaalautuva konesali- ja
kapasiteettipalvelu varautumisen perustasolle ja korotetulle tasolle, joilla käsitellään julkista
tietoa, käyttörajoitettua tietoa ja luottamuksellista tietoa. Puitesopimuksen mukainen
toimittaja valtionhallinnolle on Tieto Oyj ajalle 1.8.2013 - 31.7.2019 (ks. liite 5). Tiedon
tuottamat konesali- ja kapasiteettipalvelut ja valtion itse tuottamat konesali- ja kapasiteettipalvelut
tulevat kummatkin osaksi Valtorin palvelutarjontaa.
JHS 174 ICT-palvelujen palvelutasoluokitus http://docs.jhs-suositukset.fi/jhs-suositukset/JHS174_liite1/ JHS174_liite1.pdf
� 18
�
3 Tavoitetila
3.1 Julkisen hallinnon ICT-strategia ja konesalien lukumäärä Viime vuosina julkisen hallinnon sähköisen asioinnin palveluiden tarjonta ja kysyntä ovat kasvaneet. Palvelut ja tiedot käytössä, Julkisen hallinnon ICT:n hyödyntämisen strategian 2012 – 20204 vision mukaan käyttäjän tarvitsemat palvelut ja tiedot ovat saatavilla ja käytettävissä helposti ja turvallisesti. Tämä asettaa vaatimuksia hallinnolle uudistaa toimintatapaansa ja myös uudistaa tietojärjestelmiään.
Toimintavarma ICT-infrastruktuuri on perusedellytys valtionhallinnon ja kuntasektorin toiminnalle. ICT-infrastruktuurin tulee muodostaa yhteensopiva, kustannustehokas ja joustava pohjarakenne julkisen hallinnon palveluille. Tämän pohjarakenteen tulee mahdollistaa nykyistä paremmin julkisen hallinnon toimintatapa- ja organisaatiomuutokset.
Julkisen hallinnon ICT-infrastruktuurin hankinta ja ylläpito on hajanaista. Tavoitteiden saavuttamiseksi infrastruktuuripalveluiden tuotanto keskitetään suurempiin yksiköihin, jotta palvelut voidaan tuottaa tehokkaasti ja laadukkaasti tarpeita ja odotuksia vastaavasti.
Sähköiset palvelut ovat laajamittaisesti käytössä valtionhallinnossa. Tämä strategia pyrkii osaltaan tukemaan hallintoa sen kehittäessä sähköisiä palveluita edelleen kansalaisten ja sidosryhmien tarpeisiin huomioiden sähköisten palvelujen usein keskeytymätön ympärivuorokautinen palvelutarve sekä kapasiteettitarpeen vaihtelu esimerkiksi erilaisten ilmoitusaikataulujen ja asiointiaikojen johdosta.
JulkICT strategian kohdassa 3.5 todetaan: Tavoitteena on, että julkisen hallinnon konesalien lukumäärä vähenee 15 % vuoden 2015 loppuun mennessä ja 60 % vuoteen 2020 mennessä. Tämä tarkoittaa että kun vuonna 2011 konesaleja oli 190 kappaletta niin vuonna 2015 niitä olisi jäljellä 162 kappaletta ja vuonna 2020 jäljellä 76 kappaletta.
JulkICT strategiakauden kahtena ensimmäisenä vuotena 2012 - 2013 konesalien lukumäärän vuoden 2015 tavoite on jo saavutettu, konesaleja oli vuoden 2013 lopussa 120 kappaletta.
Palvelut ja tiedot käytössä, Julkisen hallinnon ICT:n hyödyntämisen strategia 2012 – 2020,
http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/03_muut_asiakirjat/julkict-strategia-2012-2020.pdf
� Alla olevassa kuvassa on vuosien 2011, 2012 ja 2013 toteutuneet luvut mustalla viivalla. Vuosien 2014-2020 kohdalla on lineaarinen tavoite sinisellä viivalla, jossa lähtötasona on vuoden 2013 toteutuma ja tavoitetasona JulkICT:n strategian tavoitetaso vuodelle 2020. Vuosien 2021-2024 kohdalla on kovennettu tavoite punaisella viivalla, jossa lähtötasona on JulkICT strategian tavoite vuodelle 2020 ja tavoitetasona kovennettu tavoite vuodelle 2024. Kovennetun tavoitteen mukaan valtion omia konesaleja olisi jäljellä 20 kappaletta vuonna 2024, jolloin vähennystä vuoden 2011 tasosta tulisi 89 %.
190Valtion konesalien lukumäärä 1701501301109070503010121314151617181920212223242011 3.2 Palveluiden tuottajat Konesali- ja kapasiteettipalveluiden tuottajien työnjako strategian tavoitetilassa on:
1. Valtori tuottaa itse tuotettuna palveluna turvaviranomaisille ja valtioneuvostolle korkean varautumistason ja salaisen tiedon (ST II) käsittelyn konesali- ja kapasiteettipalvelut. 2. Valtori tuottaa itse tuotettuna palveluna tai palveluintegraattorina yhteistyössä alihankkijoiden kanssa korotetun varautumistason sekä luottamuksellisen tiedon (ST III) käsittelyn konesali- ja kapasiteettipalvelut. Päätös valittavasta vaihtoehdosta tehdään mm. kokonaisarkkitehtuurin, integroinnin ja kustannusten perusteella. 3. Valtori tuottaa palveluintegraattorina yhteistyössä alihankkijoiden ja valtion omien toimijoiden kanssa valtionhallinnolle varautumisen perustason sekä käyttörajoitetun tiedon (ST IV) ja julkisen tiedon käsittelyn konesali- ja kapasiteettipalvelut. � Tätä jakoa noudatetaan siitä lähtien, kun Valtorilla on konesali- ja kapasiteettipalvelut tarjottavana asiakkailleen. Jako koskee tuosta ajankohdasta alkaen uusia järjestelmähankkeita ja vanhojen järjestelmien elinkaaren saumakohtia, joissa sopimukset päättyvät.
Verrattaessa valintatilanteessa markkinahintaa ja oman tuotannon hintaa tulee varmistaa että hinnat sisältävät samat komponentit ja ovat siten vertailukelpoisia.
3.3 Varautumisen ja tietoturvallisuuden merkitys Seuraavassa kuvassa on kuvattu valtion konesali- ja kapasiteettiympäristöä tavoitetilassa. Palvelutuotantoympäristö voidaan jakaa palvelutuotannon ja tilojen kannalta neljään eri kategoriaan:
Toimittajien laitetiloista
Omista laitetiloista
Omista tai toimittajien laitetiloista
2 Perustason varautumi- nen ja suojaustaso IV 34 Korkea varautuminen ja suojaustaso II tai III Valtion konesali- ja kapasiteettiarkkitehtuuri Yhteydet virastoihin Hallinnon turvallisuusverkko Valtion yhteinenverkko Yhteydet virastoihin Korotettu varautuminen 1 Perustason varautuminen ja julkinen tieto Yhteydet Internetiin ja suojaustaso III tai IV Katkoviivan vasemmalla puolella ovat kriittisimmät valtion omistamat ja hallinnoimat konesalit. Katkoviivan oikealla puolella ovat markkinalähtöisten palvelutarjoajien ja valtion toimijoiden konesalit muille kuin korkeimmille varautumisen ja tietoturvan tasoille.
Valtion omistamat konesalitilat sijaitsevat Suomessa.
Pilvipalveluita voidaan tietyissä tapauksissa hankkia myös ulkomailla sijaitsevista pilvipalvelimista. Varautumisen taso, tietoturvallisuuden suojaustaso, järjestelmän ylläpitämät perusrekisterit ja järjestelmän ylläpitotehtävä määrittävät miltä osin palvelu voi olla EU:ssa tai muualla ulkomailla, vai onko sen sijaittava kokonaisuudessaan Suomessa.
� Tietoturvaa Suomen rajat ylittävässä tietoliikenteessä on tarkasteltava muun muassa seuraavista näkökulmista:
• Läpikulkumaiden ja kohdemaan harjoittama (laillinen) signaalitiedustelu • Kohdemaan tietoturva- ja tietosuojalainsäädäntö • Palveluun sovellettava tietoturvastandardi • Palveluun sovellettava lainsäädäntö (mistä maasta/maista) • Suomesta ulospäin suuntautuvien tietoliikenneyhteyksien kapasiteetti ja fyysinen turvallisuus Seuraavissa kahdessa kuvassa tarkastellaan konesali- ja kapasiteettipalveluita tietoturvallisuuden ja varautumisen näkökulmista. Ylempi kuva on rakennelähtöinen, alempi volyymilähtöinen.
� TIETOTURVALLISUUS JA VARAUTUMINEN
Suojaustaso Turvallisuusluokitusmerkintä Korotettu taso Perustaso Avoin taso I Erittäin salainen II Salainen III Luottamuksellinen IV Käyttö rajoitettu Perustason varautuminen ja suojaustaso IV Perus ta s on va ra utumi nen ja jul ki ne n ti e to Korkea varautuminen ja/tai suojaustaso II Korotettu varautuminen ja/tai suojaustaso III Jokaisen julkishallinnon viranomaisorganisaation on saavutettava ICT- varautumisen perustaso Tietoturvallisuus Julkinen Varautumisen vaatimustaso Ei tiedonsiirtoa tietoverkossa Korkea taso ST Turvallisuusluokitusmerkintä KorkeaKorotettu Perustaso AvoinIErit t äin salainen IISalainen IIILuottamuksellinen IVKäyttö rajoitettu Perustason varautuminen ja suojaustaso IV Perustason varautuminen ja julkinen tieto Ko r kea var aut umi nen j a/ t ai suo j aust aso I I Korotettu varautuminen ja/tai suojaustaso III Jokaisen julkishallinnon viranomaisorganisaation onsaavutettava ICT-varautumisen perustaso Tietoturvallisuus Julkinen Varautumisen vaatimustaso Ei t i ed o nsi i r t o a t i et o ver ko ssa � 24
�
4 Jatkotoimenpiteet
4.1 Palvelimien sijainti Palvelimien ja sovellusten tullessa elinkaarensa päähän siirrytään pääsääntöisesti käyttämään yhteiskäyttöisiä kapasiteetteja.
Palvelimia ei lähdetä siirtämään konesalista toiseen, jollei palvelimien siirrolle ole taloudellista tai palvelutarpeisiin liittyvää hyötyä.
4.2 Vaatimuksia toimivalle konesalitilalle Konesaliselvityksissä on ilmennyt, että hallinnon toimijat ymmärtävät konesalitilan määritelmän ja ominaisuudet eri tavoilla. Konesali tarkoittaa erillistä palvelimille tai levyjärjestelmille varattua tilaa. Konesalissa on kulunvalvonta, omat sammutusjärjestelmänsä, sähkönsyöttönsä ja ilmastointinsa.
Korkean suojautumisen konesalit on usein sijoitettu maan alle ja niissä on muun muassa varavoimajärjestelyt, kovennettu pääsynhallinta ja EMP- sekä HPM-suojaukset.
Muissa kuin konesalitiloissa sijaitsevat palvelimet ja levyjärjestelmät ovat tarkastelun kohteena ja ne tullaan osana strategian toteuttamista siirtämään asianmukaisiin konesaleihin.
Alla on tärkeimmät kriteerit, joilla valitaan säilytettävät ja kehitettävät konesalit
1. Tila on olemassa (hyödynnetään nykyisiä tiloja) 2. Kapasiteettia, sähköä ja tilaa on käytettävissä tai saatavissa käyttöön joustavasti ja riittävän pitkäksi ajaksi 3. Omakustannushinnat (€/palvelin/kk, €/rack/kk, €/m2/kk jne.) ovat kilpailukykyiset 4. Turvallisuus on vaaditulla tasolla 5. Varautuminen on vaaditulla tasolla (TIER IV jne.) 6. Sähkönsaanti on turvattu, ml. varavoima 7. Jäähdytyskapasiteettia on riittävästi 8. Isännöintipalvelut ja muut huoltopalvelut ovat kunnossa � 9. Ympäristöarvio (tilankäytön tehokkuus, mistä sähkö tulee, miten jäähdytys on hoidettu, PUE arvo jne.) on hyvä 10. Tilasta luopumisen aiheuttamat kustannukset valtiolle ja yhteiskunnalle 4.3 Kehitettävät ja lopetettavat konesalit Vuoden 2014 aikana
a. Valitaan säilytettävät ja kehitettävät valtion konesalit, yhteensä 10–20 kappaletta b. Saatetaan voimaan uusien konesalien osto- ja rakentamiskielto c. Hanselin kilpailuttama konesali- ja kapasiteettipalvelun puitesopimus on tehokkaasti käytössä d. On laadittu hallintomalli valtion omistamien konesalien omistukseen, isännöintiin, huoltoon, hoitoon, kulunvalvontaan ja muihin tehtäviin Valtoriin siirrettävien organisaatioiden konesali- ja kapasiteettipalvelutoiminnot siirretään sellaisenaan Valtoriin organisaation siirtojen yhteydessä vuosina 2014–2015.
Säilytettäville ja kehitettäville konesaleille tehdään 31.5.2015 mennessä elinkaari- ja kapasiteettisuunnitelma, joka ulottuu 31.5.2025 saakka.
Vuoden 2015 loppuun mennessä muille kuin kehitettäville konesaleille tehdään luopumissuunnitelma. Niistä luovutaan elinkaaren päättyessä, kuitenkin viimeistään vuonna 2020. Poikkeustapauksissa takaraja voi olla 2024.
4.4 Yhteiskäyttöinen kapasiteetti Yhteiskäyttöinen kapasiteetti tarkoittaa sitä, että uudelle tai uusittavalle tietojärjestelmälle ei rakenneta sen tarvitsemaa laitteisto- ja ohjelmistokokonaisuutta kokonaan erillisenä, vain tälle järjestelmälle kohdennettuna kapasiteettina. Yhteiskäyttöisen kapasiteetin avulla hyödynnetään valmiiksi määriteltyjä ja nopeasti käyttöön saatavia laitteisto- ja ohjelmistokomponentteja. Asiaa selventää liitteen 1 periaatekaavio.
Vuoden 2014 aikana valitaan yhteiskäyttöiset kapasiteetit (liite 1), joilla tullaan toteuttamaan pääosa valtion ICT-hankkeista. Valinnassa hyödynnetään valtionhallinnon ja yksityisten palveluntarjoajien parhaita käytäntöjä. Valinnat tehdään tasapainottaen 1) tulevaisuuden tarpeita ja mahdollisuuksia, 2) olemassa olevaa osaamista ja teknologiaa sekä 3) olemassa olevia järjestelmiä, joita konvertoidaan palvelun piiriin tulevina vuosina. Lähtökohtana käytetään liitteessä 5 esitettyjä teknologioita.
Edellä mainittujen valintojen pohjalta laaditaan ja hyväksytään vuoden 2014 loppuun mennessä ratkaisuarkkitehtuurit ja palvelutasosopimusmallit yhteensä alle kymmenestä IaaS ja PaaS palvelusta. Ratkaisuarkkitehtuurit ovat osa julkisen hallinnon kokonaisarkkitehtuuria.
�
1.5.2015 alkaen uudet ja perusparannettavat ICT-palvelut toteutetaan pääosin kustannustehokkaasti
ratkaisuarkkitehtuureja hyödyntäen tavoitteena alhaisemmat yksikköhinnat,
nopeammat järjestelmien rakentamisajat, lisääntynyt hinta- ja määräjousto ylös- ja
alaspäin sekä palvelun tasalaatuisuus sovitulla tasolla.
4.5 Siirtymävaihe Toimintosiirrot, palvelusiirrot ja asiakassiirrot Valtoriin tapahtuvat suunnitelman mukaan 1.3.2014 – 31.10.2015. Samalla siirtyy myös konesali- ja kapasiteettipalvelujen tuotantovastuu asteittain Valtoriin. Siirtojen alkuvaiheessa palvelut, mukaan lukien konesali- ja kapasiteettipalvelut, siirtyvät Valtoriin sellaisenaan.
Yhteisten konesali- ja kapasiteettipalvelujen käyttö alkaa asteittain siirtojen jälkeen.
Siirtyminen tehtäväkohtaisista palvelimista kohti yhteiskäyttöisen kapasiteetin käyttämistä tapahtuu luontevimmin palvelukohtaisesti siinä vaiheessa kun otetaan käyttöön uusi palvelu tai kun olemassa olevan palvelun infrastruktuuriratkaisu uusitaan.
4.6 Konesaliverkosto Säilytettävät ja kehitettävät konesalit muodostavat dynaamisen konesaliverkoston, jossa jokaisella konesalilla on oma tehtävänsä sekä määritelty suhde muihin konesaliverkoston konesaleihin. Konesalit voivat erikoistua muun muassa seuraavilla parametreilla:
1. Laskentakapasiteetti 2. Talletuskapasiteetti 3. Varmistuskapasiteetti 4. Tiedonsiirtokapasiteetti sisään / ulos 5. Teknologia-arkkitehtuuri (mitkä Iaas/PaaS palvelut ovat konesalissa tarjolla) 6. Järjestelmäarkkitehtuuri (mitä sovelluksia konesalissa ajetaan) 7. Tietoarkkitehtuuri (missä konesalissa eri perusrekisterit sijaitsevat, missä kopiot jne.) 8. Toimintoarkkitehtuuri (mitä julkisen hallinnon toimintoja konesalista käsin palvellaan) 9. Asiakkaat 10. Palvelut 11. Palveluajat � 12. Yksikköhinnat 13. Energiatehokkuus 14. Varautumisen vaatimustaso 15. Tietoturvallisuuden suojaustaso 16. Latenssi 17. Maantieteellinen hajauttaminen huoltovarmuussyistä 18. Peilauspaikat 19. Varmistuspaikat 20. Väistöpaikat Näitä parametreja yhdistelemällä saadaan jokaiselle säilytettävälle konesalille oma roolinsa. Konesalit ovat toisiinsa nähden palvelusuhteessa, eli yksi konesali voi olla toisen väistöpaikka, yksi konesali voi olla muiden konesalien tietokantojen varmistuspaikka jne. Tehokas ja toimintavarma konesalien topologia on konesalistrategian toteutuksen yksi keskeisimmistä tuloksista.
Konesaliverkostoon kuuluu valtion omat konesalit ja ne toimittajien konesalit, joissa sijaitsee merkittäviä valtion järjestelmiä. Hyvällä julkishallinto – elinkeinoelämä yhteistyöllä voidaan saavuttaa optimaalinen kokonaisratkaisu, jossa kilpailtu markkina, kansallinen osaaminen, huoltovarmuus, turvallisuusnäkökohdat, kansainväliset velvoitteemme ja kansantalouden kokonaisetu ovat oikeassa tasapainossa.
Konesaliverkoston hallinta vaatii tuekseen hallinnan työkalut ja prosessit sekä replikoidun keskusvalvomotoiminnallisuuden, josta nähdään koko verkoston tila ja kyetään hallitsemaan sitä dynaamisesti.
4.7 Strategian toteutuksen seuranta ja ohjaus Strategian ohjaus ja ajan tasalla pitäminen on julkisen hallinnon tieto- ja viestintäteknisen toiminnon vastuulla.
Strategian toteuttamisesta vastaa Valtori.
� Liitteet
Liite 1
Kapasiteettipalveluiden luokittelu
PilvipalvelutSovellukset
Tieto
Ajonaikaiset
ympäristöt
Välitason ohjelmisto
Käyttöjärjestelmä
Virtualisointi
Palvelimet
Tallennustila
Verkkotekniikka
Paikallisesti
toteutettu
Itse
hallittu
Sovellukset
Tieto
Ajonaikaiset
ympäristöt
Välitason ohjelmisto
Käyttöjärjestelmä
Virtualisointi
Palvelimet
Tallennustila
Verkkotekniikka
Infrastruktuuri
palveluna(IaaS)
Itse
hallittu
Sovellukset
Tieto
Ajonaikaiset
ympäristöt
Välitason ohjelmisto
Käyttöjärjestelmä
Virtualisointi
Palvelimet
Tallennustila
Verkkotekniikka
Sovellusalusta
palveluna(PaaS)
Itse
hallittuSovellukset
Tieto
Ajonaikaiset
ympäristöt
Välitason ohjelmisto
Käyttöjärjestelmä
Virtualisointi
Palvelimet
Tallennustila
Verkkotekniikka
Sovellukset
palveluna(SaaS)
Toimittaja
hallitsee
Toimittajan
hallitsee
Toimittajan
hallitsee
Infrastructure As AService Platform As AService Software As AService
Kuvassa on esitetty yleisimmin käytetty kapasiteettipalveluiden luokittelutapa. Kuvassa
on neljä yleisintä valmista vaihtoehtoa. Kysymyksessä on kuitenkin liukuva asteikko, ja
myös näiden vaihtoehtojen välillä olevat vaihtoehdot ovat mahdollisia, kuten myös erilaiset
yhdistelmät.
Termiin ”pilvipalvelu” liitetään yleensä palvelintietokoneen ”osoitettomuus”, eli että palvelu tulee ”pilvestä”, jonka sijaintipaikkaa ei tiedetä.
Valtiolla on kuitenkin monessa tapauksessa ”Valtion pilvi”, jossa kapasiteettia saadaan yhteiskäyttöisestä kapasiteetista, mutta määritellyistä laitepaikoista ja konesaleista.
Osoiteettoman pilvipalvelun ja valtion pilven välissä on vaihtoehtona yksityinen pilvi, joka on rajatulle asiakasakunnalle ja jossa voi olla rajoituksena esimerkiksi se että palvelutuotanto sijaitsee Suomessa tai sellaisessa maassa, jonka kanssa Suomella on turvallisuussopimus.
�
Liite 2
Varautumisen tasot
Avoin taso
Avoin taso on organisaation varautumisen kehittymisessä lähtötaso, jossa organisaation varautumistarpeiden tunnistaminen ja palvelujen luokittelu ICT-varautumisen eri tasoille on kesken.
Organisaatio voi myös harkitusti toteuttaa joitakin palvelujaan ja järjestelmiään avoimella tasolla, jolloin nämä eivät täytä ICT-varautumisen vaatimuksia. Tällaisia palveluja voivat olla esimerkiksi yleisistä pilvipalveluista tuotettavat palvelut. Palvelu voi tässä tapauksessa olla esimerkiksi sellainen lisäarvopalvelu kansalaisille, että se voi olla pitkiäkin aikoja poissa toiminnasta ilman, että organisaation perustehtävät jäävät täyttymättä ja kansalainen saa vastaavan palvelun myös muun palvelun kautta. Tällaisiin palveluihin ei voida kohdistaa tilaajan kautta erityisvaatimuksia ICT-varautumisen osalta.
Jokaisen julkishallinnon viranomaisorganisaation on kuitenkin saavutettava ICT-varautumisen perustaso, vaikka jotkut palvelut eivät suunnitellusti täyttäisikään perustason vaatimuksia ja toteutetaan siten avoimella tasolla.
Perustaso
Perustaso mahdollistaa turvallisesti organisaation normaalin, voimakkaasti verkostoituneen toiminnan. Perustasolle sijoittuu tyypillisesti suurin osa hallintoa tukevista järjestelmistä, kuten matkahallintajärjestelmät. Perustasolle sijoitetaan palvelut ja järjestelmät, joiden hetkellinen lamautuminen häiriötilanteissa ei keskeytä organisaation ydintoimintoja. Häiriötilanteista selviydytään toiminnan vaatimuksia vastaavilla yhtenäistetyillä, normaaleilla palvelusopimuksilla. Tyypillisesti perustasolle sijoitetaan järjestelmiä, joiden käytön pääpaino on virka-aikana, joiden viankorjaus voidaan aloittaa havaintoa seuraavana arkipäivänä tai joiden tavoitteellinen toipumisaika häiriöstä voi olla seuraavan työpäivän aikana.
ICT-varautumisen perustason vaatimusten täyttäminen ei aiheuta merkittäviä lisäkustannuksia, kun vaatimukset otetaan huomioon organisaation, toiminnan, palvelujen ja järjestelmien kehittämisessä alusta alkaen. Jo käytössä olevat palvelut ja järjestelmät siirretään perustasolle uudelleen kilpailutusten, järjestelmämuutosten ja päivitysten yhteydessä. Perustason todentaminen voidaan tehdä itsearviointina tai ulkopuolisia palveluja käyttäen.
� Korotettu taso
Korotettu taso on tarkoitettu organisaation kriittisille toiminnoille. Vain osa organisaation toiminnasta, palveluista ja järjestelmistä on tarkoituksenmukaista toteuttaa tällä tasolla. Korotetulle tasolle voidaan sijoittaa myös yhteiskunnan elintärkeitä toimintoja tukevia tai kansalaiselle häiriötilanteissa keskeisiä palveluja ja järjestelmiä. Korotetun tason järjestelmiä ovat esimerkiksi potilastietojärjestelmät ja perusrekisterit niiltä osin, kuin viranomaisten korotetun ja korkean ICT-varautumisen tason palvelut ovat niistä riippuvaisia. Yhteiskunnan elintärkeiden toimintojen kannalta keskeisten organisaatioiden tulisi sijoittaa myös joku kriisitilanteiden johtamisen mahdollistava viestitysjärjestelmä minimissään korotetulle tasolle.
Korotetulla tasolla on tehostettu häiriöitä ennaltaehkäiseviä varautumisen toimenpiteitä ja otettu käyttöön häiriön sietäviä ratkaisuja. Korotetun tason järjestelmissä on ympärivuorokautinen valvota ja kyky aloittaa viankorjaus viivytyksettä. Korotetulla tasolla voidaan myös edellyttää käyttäjäorganisaatioilta päivystysjärjestelyjä, joilla varmistetaan kyky häiriötilanteiden hoitamisen toimenpiteistä päättämiseen.
Jos palvelut ja järjestelmät ovat merkityksellisiä yhteiskunnan elintärkeille toiminnoille ja poikkeusolojen toiminnalle, on huolehdittava niiden toimintaedellytyksistä myös tilanteissa, joissa tietoliikenneyhteydet Suomesta ulkomaille ovat lamautuneet. Tällöin on perusteltua asettaa korotetun tason palvelutuottajille joitakin erityisvaatimuksia muun muassa ulkomailla tuotettaviin palveluihin ja niiden ulkoisiin tarkastuksiin liittyen. Korotetun tason todentamiseen on hyvä käyttää myös organisaation ulkopuolista toimijaa.
Korkea taso
Korkea taso täyttää yhteiskunnan turvallisuusstrategian uhkamallien mukaisiin laajoihin häiriötilanteisiin ja poikkeusoloihin varautumisen tarpeet erityisturvallisuutta vaativissa toiminnoissa. Korkean vaatimustason järjestelmiä ovat esimerkiksi hallinnon turvallisuusverkko ja turvallisuusviranomaisten operatiiviset järjestelmät. Korkealle tasolle sijoitetaan palveluja ja järjestelmiä, joiden tulee toimia ympärivuorokautisesti ja joiden pienetkin palvelukatkokset aiheuttavat vakavia toiminnallisia häiriöitä tai erittäin huomattavia taloudellisia vaikutuksia.
Korkea taso asettaa merkittäviä lisävaatimuksia organisaation toiminnalle, osaamiselle ja järjestelmien toteutukselle. Korkean tason järjestelmät ovat jatkuvan ympärivuorokautisen valvonnan, hallinnan ja viankorjauksen piirissä. Korkean tason järjestelmät edellyttävät myös tilaaja- ja käyttäjäorganisaatioilta järjestelyjä, joilla taataan kyky nopeaan päätöksentekoon häiriötilanteissa. Korkealla tasolla on erityisesti varmistettava tietoliikenteen toimivuus, tiedon, palvelujen, ylläpidon ja osaamisen saatavuus ja toiminta Suomen lainsäädännön alaisuudessa poikkeusolot huomioon ottaen. Korkealle tasolle sijoitettavien palvelujen tulee toimia, vaikka tietoliikenneyhteydet ulkomaille olisivat poikki. Korkean tason palveluissa on erikseen määritettävä, mitkä tiedot on säilytettävä ja mitkä hallintatoimet on toiminnan kriittisyyden tai poikkeusoloihin varautumisen kannalta toteutettava Suomessa.
� Korkean varautumistason järjestelmät tulee rakentaa siten, ettei yhden konesalin tai tietoliikenneyhteyden tuhoutuminen lamauta järjestelmän toimintaa. Korkean tason ICT- varautumisen todentamiseen tulee käyttää NCSA-FI:n hyväksymää toimijaa.
Erityistaso
Erityistasolle sijoitetaan kriittisiä toimintoja, palveluja ja järjestelmiä, joissa on toiminnan luonteen ja sen edellyttämän palvelun saatavuuden varmistamiseksi jouduttu soveltamaan korotetun ja korkean tason vaatimuksia ja ottamaan käyttöön yhteisistä menetelmistä ja ratkaisuista poikkeavia ratkaisuja.
Järjestelmän sijoittumisen erityistasolle päättää ohjaava ministeriö ja hyväksyy valtiovarainministeriö. Palvelun ja järjestelmän auditoinnin toteuttaa kansallinen tietoturvaviranomainen (NCSA-FI) tai sen hyväksymä toimija.
� Liite 3
Tietoturvallisuuden suojaustasot
Turvallisuusluokitusmerkintä tehdään:
1) suojaustasoon I kuuluvaan asiakirjaan merkinnällä ”ERITTÄIN SALAINEN tai YTTERST HEMLIG tai TOP SECRET”;
2) suojaustasoon II kuuluvaan asiakirjaan merkinnällä ”SALAINEN tai HEMLIG tai SECRET”;
3) suojaustasoon III kuuluvaan asiakirjaan merkinnällä ”LUOTTAMUKSELLINEN tai KONFIDENTIELL tai CONFIDENTIAL”;
4) suojaustasoon IV kuuluvaan asiakirjaan merkinnällä ”KÄYTTÖ RAJOITETTU tai BEGRÄNSAD TILLGÅNG tai RESTRICTED”.
Asiakirjan siirtäminen tietoverkossa
Suojaustasoon I tai II kuuluvaa asiakirjaa ei saa siirtää tietoverkossa. Tällaisen asiakirjan saa kuitenkin siirtää sellaisessa viranomaisen tietoverkossa, joka yhdistää asiakirjan tallettamiseen ja säilyttämiseen käytetyn laitteen samassa viranomaisen hallinnassa olevassa erityisvalvotussa tilassa oleviin muihin laitteisiin, jos laitteet yhdistävään tietoverkkoon ei ole luotu yhteyttä muista tietoverkoista ja käsittely on muutoinkin vahvasti suojattua.
Suojaustasoon II kuuluvan asiakirjan saa lisäksi siirtää sellaisessa viranomaisen tietoverkossa, jonka käyttö on rajoitettu, jos asiakirja on vahvasti salattu tai se on muutoin vahvasti suojattu ja valtionhallinnon viranomainen on muutoinkin varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tietoturvallisuustason vaatimukset.
Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja siirretään viranomaisen tietoverkossa, jonka käyttö on rajoitettu, jos viranomainen on varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuuden tason vaatimukset. Sama koskee suojaustasoon IV kuuluvien valtakunnalliseen henkilörekisteriin talletettujen arkaluonteisten henkilötietojen tai biometristen tunnistetietojen siirtämistä tietoverkossa. Suojaustasoon IV kuuluvan muun asiakirjan saa siirtää valtionhallinnon viranomaisen päättämällä tavalla.
� Liite 4 JHS 174 luku 7.1
Palvelinten käyttöpalvelut
Palvelinten käyttöpalveluilla tarkoitetaan valvonta- ja hallintatoimia, joilla huolehditaan palvelinten häiriöttömästä toiminnasta.
Palvelinten käyttöpalveluiden palvelutasoluokat
Palvelutaso Palveluaika, häiriöselvitys Käytettävyys Palveluvaste A (Lähtötaso) P1 arkisin 8-16 K1 97% V1 reag: 4h, ratk: 2tp B (Normaali) P2 arkisin 7-19 K2 99% V2 reag: 2h, ratk: 1tp C (Laajennettu) P3 arkisin 7-21 la ja su 9-18 K2 99% V2 reag: 2h ratk: 1tp D (Kriittinen) P4 24/7 K3 99,5% V3 reag 30 min ratk: 4h E (Erittäin kriittinen) P4 24/7 K4 99,9% V4 reag: 15min ratk: 3h
Palveluvaste on osittain päällekkäinen käytettävyyden kanssa. Periaatteessa pelkkä käytettävyyden käyttö laatumääreenä kuvaa maksimiarvot erilaisille vikatilanteille. Koska asiakas haluaa minimoida katkojen aiheuttamat haitat, käytettävyyden lisäksi halutaan käyttää ennakoivaa katkojen haittoihin vähentävästi vaikuttavaa laatutekijää – palveluvastetta. Palveluvaste kuvaa siis erityisesti reagointiajan kautta ”yrittikö toimittaja riittävästi korjata vikatilanteet” ja käytettävyys taas ”onnistuiko toimittaja vikatilanteiden korjaamisessa riittävästi”. Palveluvaste on yleisesti käytetty laatumääre jatkuvissa ICT-palveluissa.
Yllä olevia palvelutasoluokkia voidaan täydentää monilla muilla palvelinpalveluihin liittyvillä laatumääreillä, jotka riippuvat pitkälti palvelusisällöstä. Tyypillisesti palvelinten käyttöpalvelukuvauksista voidaan löytää seuraavankaltaisia laatumääreitä ja palvelutasoja palvelun sisällöstä riippuen:
• Huoltoikkuna: esim. palvelimille varataan neljän tunnin huoltoikkuna joka kuukauden toiselle sunnuntaille klo 2-6. • Uuden palvelimen toimitusaika kapasiteettipalveluissa: esim. erillispalvelin: 3 viikkoa, korttipalvelin olemassa olevaan runkoon: 2 viikkoa, virtuaalipalvelin: 1 viikko. • Operointi: esim. levykapasiteetin lisäyksen (max. 10%) toimitusaika on viisi työpäivää. � Liite 5 Ote tarjouspyynnöstä ja Tieto oyj:n puitesopimuksesta
Palveluiden tuotantoympäristöjen luokittelu ja eriyttäminen
F=Fyysinen eriyttäminen L=Looginen eriyttäminen Asiakaskohtainen tuotantoympäristö (4.1.1) Jaettu valtion tuotantoympäristö (4.1.2) Julkinen tuotantoympäristö (4.1.3) Ympäristö Asiakas Ympäristö Asiakas Ympäristö Asiakas Konesalien väliset yhteydet L L L L L L Konesaliverkot (sis. kytkimet,muut aktiivilaitteet) F F F L L L SAN levyjärjestelmät F F F L L L SAN verkot F F F L L L Muut levyjärjestelmät F F L L L L Varmistusjärjestelmät F L L L L L L Valvontaja hallintavälineet L L L L L Fyysiset palvelimet/ Dedikoidut palvelimet F F F F L F Virtuaalipalvelimet Raportointi-ja seurantavälineet Palomuuri F L F L L L L L F L F L L L L L LF
Käyttöjärjestelmät
Puitesopimukseen kuuluu kapasiteettipalveluna seuraavat käyttöjärjestelmät:
• Linux (Red Hat, Suse jne.) • Asiakaskohtaisesti sovittava Linux distrot, kuten esimerkiksi Secure Platform • Unix, Toimittajien tarjoamat versiot • HP UX 11i v1 ja uudemmat • IBM AIX 6.1 ja uudemmat • Sun Solaris 8.x ja uudemmat • Microsoft Windows, Microsoftin tukemat versiot Tietokannat
Puitesopimukseen kuuluu tietokantojen valvonta- ja hallintapalvelu seuraaville Asiakkaiden käyttämille tietokannoille:
• Oracle • IBM DB2 • MS SQL Server • MySQL � Liite 6 VALTORI
Palvelukuvaukset ovat TORI-hankkeen tuottamia alustavia kuvauksia.
Valtorin palvelut
Yhteiset tietojärjestelmäpalvelut Tietovarantopalvelut Palveluunohjaus Kansalaisportaali Yritysportaali Hallinnon portaalit Toimialariippumattomat ICT-palvelut (TORI-palvelut) Päätelaiteja käyttäjätukipalvelut Viestintä- tekniset palvelut Tieto- liikenne- palvelut Käyttö- palvelut Projekti- ja asiantuntijapalvelut Toimisto- sovelluk- set Muut palvelut Toimialariippuvat ICT- palvelut Virasto -ja hallinnonalakohtaiset ICT- palvelut kuten ydintoiminnan sovelluspalvelut Käyttöpalveluissa Valtorin palveluvalikoimassa on muun muassa seuraavia palveluita:
• Palvelinkapasiteettipalvelut • Tallennuskapasiteettipalvelut • Varmistuspalvelut • Tietokantapalvelut • Konesalitilapalvelut • Virtualisointipalvelut • Tunnistautumis- ja pääsynhallintapalvelut • Sovelluskäyttöpalvelut • Enterprise Application Integration (EAI) palvelut • Sanomanvälityspalvelut � Liite 7
ISO 20000
Valtori käyttää ISO 20000 standardia palvelutuotannossaan. Tämä tarkoittaa sitä että konesali- ja kapasiteettipalveluille tullaan määrittelemään, kuvaamaan ja ottamaan käyttöön ISO 20000 prosessit.
ITIL ja COBIT ovat alla olevassa kuvassa mukana vertailun vuoksi.
ISO/IEC 20000 ITILv3 COBIT SERVICE STRATEGY Manage ITManagem ent fram ework Manage Enterprise Architecture Manage Innovation Business Relationship Management Service Strategy Manage Relationship Service Portfolio Managem ent Manage Portfolio Dem and Management Manage program mes/projects/requirements Budgeting & Accounting for IT Services Financial Managem ent Manage Budget & Costs Manage Quality, risk & security SERVICE DESIGN Service Catalog Managem ent Manage Service Agreements Service Level Management Service LevelManagem ent Capacity Management Capacity Managem ent Manage Availability & Capacity Availability Management Availability Managem ent IT Service Continuity Management ITService Continuity Managem ent Manage Continuity Information Security Management Inform ation Security Management Manage Security Services Supplier Management Supplier Managem ent Manage Suppliers SERVICE TRANSITION Transition & Planning Support Manage OrganisationalChange Enablem ent Change Management Change Managem ent Manage Change ,Acceptance & Transitioning Con�guration Management Asset & Con�guration Managem ent Manage Assets & Con�guration Release Management Release & Deploym ent Management Manage Solutions identi�cation & Build Service Validation & Testing Knowledge Management Manage Knowledge SERVICE OPERATION Manage Operations Incident & Service Request Management Event Managem ent Manage Service Requests Incident Management Manage Incidents Problem Management Problem Management Manage Problem s Request Ful�llment Request Ful�llm ent Access Management Manage Business Process Control CONTINUAL SERVICE IMPROVEMENT Plan -Do-Act -Check Methodology for ITSMProcesses and Service implementation Seven Step Im provementProcess Monitor,Evaluate and Assess Service Reporting Service Measurement
� Liite 8
Kokonaisarkkitehtuuri
Konesali- ja kapasiteettipalvelu on osa julkisen hallinnon kokonaisarkkitehtuuria.
Konesali- ja kapasiteettipalvelustrategian toteutus luo viitearkkitehtuurit ja ratkaisuarkkitehtuurit, joiden mukaisesti toteutetut laadukkaat ja kustannustehokkaat käyttöpalvelut ovat käytettävissä toteutettaessa ja käytettäessä tietojärjestelmäratkaisuja.
Kuva 1: Kokonaisarkkitehtuurin näkökulmat
• Palvelut • Prosessit Toiminta • Palvelut • Prosessit Tiedot • Käsitteet • Tietomallit Tietojärjestelmät • Tietojärjestelmä ratkaisut Teknologia • Teknologiaratkaisut
Tietoturva ja integraatio
Lähde: VM yhteentoimivuus sivusto, kokonaisarkkitehtuuri-esite:
http://www.vm.fi/vm/fi/16_ict_toiminta/01_yhteentoimivuus/index.jsp
� VALTIOVARAINMINISTERIÖ Snellmaninkatu 1 A PL 28, 00023 VALTIONEUVOSTO Puhelin 0295 160 01 Telefaksi 09 160 33123 www.vm.fi
15/2014
Valtiovarainministeriön julkaisuja
Huhtikuu 2014
ISSN 1459-3394 (nid.)
ISBN 978-952-251-563-6 (nid.)
ISSN 1797-9714 (pdf)
ISBN 978-952-251-564-3 (pdf)
VM:N
JuLKAISuSARJAN
TEEMAT:
Budjetti
Hallinnon kehittäminen
ICT-toiminta
Kunnat
Ohjaus ja tilivelvollisuus
Rahoitusmarkkinat
Taloudelliset ja
talouspoliittiset
katsaukset
Valtion työmarkkinalaitos
Verotus
�