ICT-toiminnan varautuminen häiriö- ja erityistilanteisiin

 

ICT-toiminnan varautuminen häiriö- ja erityistilanteisiin

VALTIOVARAINMINISTERIÖ
PL 28 (Snellmaninkatu 1 A) 00023 VALTIONEUVOSTO
Puhelin 09 16001 (vaihde)
Internet: www.vm.fi
Taitto: Pirkko Ala-Marttila/VM-julkaisutiimi

ISSN 1455-2566 (nid.)
ISBN 978-951-804-949-7 (nid.)
ISSN 1798-0860 (PDF)
ISSN 978-951-804-950-3 (PDF)


Esipuhe

 Tämän uuden VAHTI-yleisohjeen tavoitteena on parantaa ICT-varautumista erityisesti ministeriöissä ja hallinnonalojen organisaatioissa. Ohje on sisäl­tönsä puolesta käyttökelpoinen kaikille ICT-varautumisen kanssa tekemisissä oleville organisaatiolle ja henkilöille. ICT-varautumiseen liittyviä linjauksia löytyy lisäksi osasta muita VAHTI-ohjeita.

Yleisohje on valmisteltu VAHTIn ohjauksessa virkatyönä valtiovarainmi­nisteriön hallinnon kehittämisosastolla. Ennen julkaisua ohje oli laajalla lau­suntokierroksella, jonka tuloksena ohjeen sisältöön tehtiin tarvittavat paran­nukset. Kommentteja saatiin yli 20 organisaatiolta. VAHTI päätti ohjeen jul­kaisemisesta kokouksessaan maaliskuussa 2009.

Valtionhallinnon toiminta on verkostoitunutta sekä julkishallinnon sisällä että yhteiskunnan muiden toimijoiden kanssa myös kansainvälisesti. Hallin­non palvelut ja toiminnot rakentuvat tietoteknisten peruspalvelujen ja sovel­lusten sekä perusrekisterien ja muiden tietovarantojen varaan. Näiden toiminta riippuu korostuneesti tietoliikenteen toimivuudesta ja sähkön saatavuudesta. Tätä palveluverkostoa ylläpitää valtionhallinnon sisäisistä ja ulkoisista palve­lutoimittajista muodostuva verkosto.

Toiminnan ja palvelujen jatkuvuuden takaaminen ja tiedon turvaaminen edellyttävät palveluverkoston varautumista ICT-toiminnan häiriötilanteisiin. Keskeistä on varmistua, että palveluverkosto kykenee normaaliajan vakavissa häiriötilanteissa ja YETTS:n mukaisissa erityistilanteissa jatkamaan toimin­taansa asetettujen vaatimusten mukaisesti. Normaaliolojen häiriötilanteita var­ten toteutetut toimintamallit ja ratkaisut ovat perusta erityistilanteiden hoita­miselle ja toiminnalle poikkeusoloissa.

Valtionhallinnon organisaatioiden tulee kaikessa toiminnassaan ottaa huo­mioon tässä ohjeessa kuvatut ICT-varautumisen periaatteet. Keskeistä on, että kaikessa organisaatioiden, toimintojen, palveluiden ja järjestelmien kehittämi­sessä otetaan jo esitutkimusvaiheessa mukaan toiminnan jatkuvuuden hallin­nan ja tiedon turvaamisen näkökulma. Tämä mahdollistaa kustannustehok­kaan toiminnan tarpeista lähtevän varautumisen häiriötilanteisiin ja poikke­usoloihin.

Ohjeen kaupallinen käyttö ja jäljentäminen ansaitsemistarkoituksessa on kielletty. Muussa hyödyntämisessä tulee tämä ohje mainita lähteenä.

 

Lyhyesti VAHTIsta

Valtiovarainministeriö vastaa julkishallinnon tietoturvallisuuden ohjauksesta ja kehittämisestä. Ministeriö on asettanut Valtionhallinnon tietoturvallisuu­den johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauk­sen ja kehittämisen elimeksi. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksen­teossa ja sen valmistelussa.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtion­hallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.

VAHTIssa käsitellään kaikki merkittävät valtionhallinnon tietoturvalinja­ukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI käsittelee valtionhallin­non tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset sekä ohjaa valtionhallinnon tietoturvatoi­menpiteitä. VAHTI edistää verkostomaisen toimintatavan kehittämistä julki­shallinnon tietoturvatyössä.

VAHTIn toiminnalla on parannettu valtion tietoturvallisuutta ja työn vai­kuttavuus on nähtävissä hallinnon ohella myös yrityksissä, kansalaistoimin­nassa ja kansainvälisesti. VAHTIn toiminnan tuloksena muun muassa on aikaansaatu erittäin kattava yleinen tietoturvaohjeisto (www.vm.fi/VAHTI). VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja viras­tojen tietoturvayhteishankkeita. VAHTI on valmistellut, ohjannut ja toteutta­nut valtion tietoturvallisuuden kehitysohjelman, jossa on aikaansaatu merkit­tävää kehitystyötä yhteensä 26 kehityskohteessa yli 300 hankkeisiin nimetyn henkilön toimesta.

VAHTI on saanut kolmena vuotena tunnustuspalkinnon esimerkillisestä toiminnasta Suomen tietoturvallisuuden parantamisessa.

 

Yhteenveto

ICT-varautumisen kehittämisen tavoitteena on, että

  • Organisaatiot kykenevät toiminnan tarpeiden mukaisesti takaamaan palve­lujensa jatkuvuuden ja tiedon turvaamisen normaaliolojen häiriötilanteissa, YETTS-erityistilanteissa ja poikkeusoloissa.

  • Valtionhallinnossa sekä sen käyttämissä ja tuottamissa palveluissa on käytössä yhtenäiset toteutusvaatimukset sekä keinot ja menetelmät vaatimusten täyt­tämiseen.

  • ICT-varautuminen on kustannustehokkaasti ja koordinoidusti kunkin hallin­nonalan jokapäiväistä toimintaa.

  • ICT-varautuminen toteutetaan osana tietohallinnon, tietoturvallisuuden, tur­vallisuuden ja yleisen varautumisen kokonaisuutta.

Yhteiskunnan elintärkeiden toimintojen strategia (YETTS[1]) määrit­telee yhteiskunnan elintärkeiksi toiminnoiksi seitsemän toimintoa: valtion johtaminen, kansainvälinen toiminta, valtakunnan sotilaallinen puolusta­minen, sisäisen turvallisuuden ylläpitäminen, talouden ja infrastruktuurin toimivuus, väestön toimeentuloturva ja toimintakyky ja henkinen kriisink­estävyys. Uhkamalleihin sisältyviin erityistilanteisiin on strategiassa nimetty tilanteen hallinnasta ja niihin varautumisesta vastaavat ministeriöt.

Ympäröivän yhteiskunnan, valtionhallinnon sekä uhkaympäristön kehi­tys vaikuttavat varautumistarpeisiin. Todennäköisyys kasvaa tilanteelle, jossa ympäristökatastrofi, suuronnettomuus ja inhimillisestä virheestä johtuva tai tahallisesti aiheutettu laaja tietotekniikkahäiriö sekoittavat yhteiskunnan toi­mintakyvyn. Erityisen haitallisia voimakkaat häiriöt ovat laman aikana, jolloin palveluja tuottavat ja ylläpitävät yritykset ja heidän alihankkijansa minimoivat kustannuksensa ja usein optimoivat riskirajoilla resurssiensa käytön.

 

ICT-varautumisen näkökulmasta keskeisimmät trendit ovat:

 

Kehityslinja

Kehityspiirteitä

Palvelut, prosessit, tuotantoketjut, tietojen yhteiskäyttö ja järjestelmät automatisoituvat, monimutkaistuvat, integroituvat ja verkottuvat voimakkaasti.

  • Toiminnan tehostaminen tietotekniikan avulla kasvaa – ja myös riippuvuus.

  • Syntyy voimakkaita riippuvuussuhteita, kuten sähkön tuo­tannon riippuvuus tietoliikenteestä ja päinvastoin sekä or­ganisaatioiden väliset riippuvuudet.

  • Järjestelmäkokonaisuuksien testaaminen ja auditointi vai­keutuvat.

  • Internetin merkitys myös valtionhallinnossa kasvaa mer­kittävästi.

  • Vaikeasti ennakoitavia, hallitsemattomia ja laajalle heijastu­via haavoittuvuuksia syntyy yhä enemmän.

  • Palvelutoimittajien hallinta sekä resurssien kohdennus ja priorisointi häiriötilanteessa vaikeutuvat.

  • Osaaminen ei kehity monimutkaistuvien ympäristöjen tahdissa.

Palvelut hankitaan usean tuottajan palveluverkostolta

  • Vain pieni osa palvelutarpeesta kyetään hankkimaan omal­ta sisäiseltä palveluntoimittajalta.

  • Verkoston rakentaminen edellyttää toiminta- ja laatukri­teerejä, jotta keskinäinen luottamus, yhteensopivuus ja tekninen toimivuus voidaan taata.

  • ICT-palvelutoimittajien alihankinta lisääntyy, myös Suomen ulkopuolelta.

  • Vaatimusten määrittely ja hallinta sekä hankinta edellyttä­vät yhä erikoistuvampaa osaamista kaikilla tasoilla.

ICT-palveluketjujen omistussuhteissa ja sopimusvastuissa tulee tapahtumaan jatkuvasti muutoksia.

  • Osaa kaupallisista palveluista ei voida toteuttaa Suomessa ja osa perinteisesti Suomessa tuotetuista palveluista siirtyy ulkomaille, jolloin Suomen säädännöllistä kontrollia voi­daan saada vain osaan tuotantoketjuista.

  • Palvelutuotanto, laitteistotoimitus ja komponenttien val­mistus globalisoituvat, palvelutoimittajakentän muutokset yleistyvät ja henkilöstöjohtamisen haasteet lisääntyvät.

  • Ohjauksessa kulttuurilliset, taloudelliset ja sopimukselliset menetelmät korostuvat.

  • Sopimusten kattavuuden ja laadun sekä niihin kuvattujen toimintamallien dokumentoinnin merkitys kasvaa.

Uhkaympäristö muuttuu yllätyksellisemmäksi ja vakavammaksi

  • Ympäristökatastrofien, suuronnettomuuksien ja laajojen tietoteknisten haavoittuvuuksien monimuotoisuus ja ka­saantumisen todennäköisyys kasvaa.

  • Verkkohyökkäyksistä ja haittaohjelmien kehittämisestä on muodostunut ammattimaista ja hyvin organisoitua palve­lutoimintaa.

  • Kohdistettujen haittaohjelmien käyttö ja uusien järjestel­mähaavoittuvuuksien hyödyntäminen tiedustelutoimin­nassa lisääntyy.

Kansainvälisen yhteistoiminnan ja ohjauksen merkitys kasvaa voimakkaasti

  • Syntyy uudenlaisia tietohallintoa ja tietotekniikkaa koske­via tarpeita, mahdollisuuksia ja haasteita.

  • Tarpeet yhteisiin käytäntöihin ja ohjaukseen lisääntyvät.

  • Kansainvälinen säädös- ja standardiohjaus kasvavat (EU, OECD, NATO).

 
 
Valtionhallinnon ICT-varautumisen kehittäminen jakautuu keskitetysti toteutettaviin, keskitetysti ohjattuihin, mutta hallinnonaloilla tai kärkihankkeissa toteutettaviin sekä hallinnonaloilla itsenäisesti toteuttaviin toiminnan kehittämisprojekteihin ja hankkeisiin.
 
ICT-varautumisen tavoitteiden saavuttaminen ja palveluiden jatkuvuuden turvaaminen edellyttävät, että:
 
Vuoteen 2012 mennessä
  • Ministeriöt ja virastot ovat määrittäneet, mille vaatimustasolle niiden palvelut ja järjestelmät sijoittuvat sekä suunnitelleet ja käynnistäneet vaatimusten toteuttamisen.
  • ICT-varautumisen ohjaus on osana hallinnonalojen yleisiä ohjausme­netelmiä.
  • Palveluverkoston vaatimusten hallinta ja sopimusmenettelyt on yhte­näistetty.
Vuoden 2016 loppuun mennessä
  • Organisaatiot saavuttavat vähintään ICT-varautumisen perustason ja erikseen määritellyissä osissa, palveluissa ja järjestelmissä korotetun tai korkean tason.
ICT-varautumisen toteuttamisessa noudatetaan seuraavia periaatteita:
  • Valtiovarainministeriön johdolla ylläpidetään yhteisiä ICT-palveluiden jatkuvuuden hallinnan ja tiedon turvaamisen vaatimuk­sia, jotka ulotetaan toiminnan vaatimusten mukaisesti koko palvelu­verkostoon.
  • Organisaatioiden on tunnistettava prosessiensa ja toimintojensa kriittisyys ja asetettava niille käytettävyys- ja palvelutasovaatimukset.
  • ICT-varautuminen toteutetaan osana yleistä ohjausta, kuten TTS- ja tulosohjaus.
  • Organisaatioissa otetaan ICT-varautumisen käytännön toteuttamista tukevat yhtenäiset suunnittelumallit ja tarkistuslistat.
  • Uhka-arvioihin ja riskianalyyseihin perustuva varautuminen on oltava sisällä kaikkea kehittämis- ja tuotantotoimintaa.
  • Työjärjestyksissä ja tehtäväkuvauksissa määritetään keskeisimpien palveluiden jatkuvuuden hallintaan, tiedon turvaamiseen ja varautumiseen liittyvät vastuut, tehtävät ja johtosuhteet.
  • Keskeisimmät valtionhallinnon yhteiset sekä usean hallinnonalan toimintaan vaikuttavat kehittämistoimet ja palvelut toteutetaan kes­kitetysti.
  • Ministeriöt ja virastot vastaavat omien ydintoimintojensa varautumisesta.
  • Hallinnonalat rahoittavat toimintansa edellyttämän varautumisen kehyksestään.
  • Yhteistyötä ja vuorovaikutusta eri organisaatioiden ohjaamien varautumiseen liittyvien hankkeiden välillä on ylläpidettävä tiiviisti.

Seuraavaan taulukkoon on koottu keskeisiä osa-alueita, organisaatioiden tulee tarkastella kehittäessään toimintansa ja palvelujensa häiriönsietokykyä.

Aihe

Toimenpide

Ohjaava ohjeistus

  • Lainsäädäntö, normit ja ohjeet on tunnettava.

  • ICT-varautuminen on otettava huomioon tietohallintoa koskevissa oh­jeistuksessa, standardeissa ja teknisissä määräyksissä sekä niiden käy­tössä.

  • YETTS -erityistilanteiden hoitaminen (toimivaltuudet, resurssien käyt­tö) on huomioitava.

  • Varautumissuunnitelmien dokumentointi ja toteutettavuus on var­mistettava.

Vaatimusten asettaminen, resursointi ja todentaminen

  • ICT-varautumisen tulee olla sisäänrakennettuna organisaatioiden
    ydintoimintaprosesseihin ja niitä tukevaan muuhun varautumiseen

  • ICT-varautumisen vastuut ja tehtävät on liitettävä TTS-prosessiin ja tu­losohjaukseen (tavoitteet, resurssit, mittarit, raportointi), työjärjestyk­siin sekä johdon ja asiantuntijoiden tehtäväkuvauksiin.

  • Palveluntuotantoketjuun on ulotettava oikein mitoitetut auditointi- ja arviointimenettelyt.

  • Vaatimuksia vastaavat tarkastusluettelot ja ohjeistot on oltava tarkas­tus- ja controller-toiminnan osana.

  • Tarkastajien ja auditoijien varautumisen ja tietoturvallisuuden erityis­osaamista tulee kehittää.

Riskienhallinta

  • Toimintaa tukevan ICT:n kehittämisessä ja ylläpidossa tulee hyödyntää uhka- ja turvallisuustilannearviointia osana organisaation riskianalyy­siä, joka sisältää myös tulevaisuustarkastelut.

  • On huomioitava muiden verkoston osapuolien suorituskyky- ja jatku­vuusvaatimukset.

Palvelujen verkostoituminen ja sopimus- menettelyt

  • Palveluverkostot ja alihankintaketjut on tunnistettava

  • Mahdolliset rajoitteet palvelujen tuottamisessa ulkomailla on linjat­tava.

  • On määritettävä mille kriittisen palvelun osille asetetaan erityisvaati­muksia; esimerkkinä käyttäjähallinnan toteutus Suomessa suomalai­sella henkilökunnalla.

  • Sopimuksissa on otettava huomioon erityistilanteiden edellyttämät toi 
    mittajien ja sisäisten palvelutuottajien vastuu- ja priorisointivaraukset.

  • Yritysturvallisuussopimukset tulee laatia ja auditoida yhtenäisesti ja systemaattisesti.

  • Sisäisille ja ulkoisille palveluntuottajille on asetettava yhtäläiset vaa­timukset.

Tilannetietoisuus ja kriittisten toimintojen tunnistaminen

  • Organisaatioiden on kyettävä kokoamaan ICT-varautumisen kehittä­misen ja YETTS-erityistilanteen hoitamisen edellyttämät tilannetiedot koko palveluverkostosta.

  • Toimintojen, palvelujen ja järjestelmien merkitys eri turvallisuustilan­teissa on tunnistettava.

  • Organisaatioiden palveluille ja järjestelmille on määritettävä varautu­misen tavoitetaso, palvelutasovaatimukset ja tärkeysluokitukset myös YETTS-erityistilanteisiin.

  • Kriittinen ICT ja sen kriittisimmät yksittäiset osat on tunnistettava ja kuvattava.

  • Kriittisten toimintojen ja järjestelmien ylläpito- ja resursointivastuut on määritettävä.

  • Tarvittavat varaukset omista ja toimittajan resursseista (VAP) on yllä­pidettävä.

Tietotekninen infrastruktuuri

  • Kriittisille tietojärjestelmille, -tietokannoille, rekistereille ja tietoliiken­teelle on määriteltävä jatkuvasti ylläpidettävät palvelukohtaiset eri turvallisuustilanteiden käytettävyysvaatimukset sekä huomioitava ne sopimusrakenteissa.

  • Palvelutasovaatimusten ja tärkeysluokittelujen mukaiset jatkuvuuden hallinnan toimintaohjeet, menettelytavat ja tietotekniset ratkaisut on toteutettava.

  • Kriittisten tietojärjestelmien toiminta tulee varmistaa siten, että ne on sijoitettu sellaiseen tuotantoympäristöön, jossa rakenteet on suunni­teltu ja toteutettu häiriö- ja erityistilanteita sekä poik-keusoloja var­ten.

  • Valtion hallitsemien suojattujen ja rakennettujen laitetilojen yhteis­käyttöä on hyödynnettävä sijoittamalla niihin kriittisiä palveluja tuot­tavia tietojärjestelmiä, tietovarantoja ja tietoliikenneverkon laitteita se- kä tarvittaessa käyttöön otettavaa lisäkapasiteettia.

  • On kehitettävä ja ylläpidettävä valmiutta varajärjestelyjen käyttöön­ottoon.

Osaamistarpeet, koulutus ja harjoittelu

  • Kriittiset osaamistarpeet on tunnistettava ja luotava osaamisprofiilit, joita hyödynnetään rekrytoinnissa, tehtäväkierrossa, koulutuksessa ja eritystilanteiden hallinnassa.

 

  • Soveltuva koulutus on kartoitettava ja hyödynnettävä opetuslaitosten ICT -varautumista tukevaa koulutustarjontaa.

 

  • ICT -varautuminen on oltava osa organisaatioiden harjoituskokonai­suutta.

 

  • Yhteisten harjoituskehysten ja tilannekuvausten käyttöä on kehitet­tävä organisaatioiden järjestämissä varautumis- ja valmiusharjoituk­sissa.

 

  • Palveluketjun ja -verkoston toimintakykyä tulee testata säännöllisesti.

 

  • Harjoituksissa on hyödynnettävä poikkeusoloja varten luotuja toimiti­loja ja muita järjestelyjä.

 

  • Harjoituskokemuksia on systemaattisesti hyödynnettävä toiminnan kehittämisessä.

 

 

1 Yhteiskunnan elintärkeiden toimintojen turvaamisen strategia, Valtioneuvoston periaatepäätös, 23.11.2006. http://www.defmin.fi/julkaisut_ja_asiakirjat/strategia-asiakirjat/yhteiskunnan_elintarkeiden_toimintojen_turvaamisen_strategia_2006

Tulosta