Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta

 

Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta

VALTIOVARAINMINISTERIÖ
PL 28 (Snellmaninkatu 1 A) 00023 VALTIONEUVOSTO
Puhelin 09 16001 (vaihde)
Internet: www.vm.fi
Taitto: Pirkko Ala-Marttila/VM-julkaisutiimi

ISSN 1455-2566 (nid.)
ISBN 978-952-251-125-6 (nid.)
ISSN 1798-0860 (PDF)
ISBN 978-952-251-124-9 (PDF)
 

Virastojen johdolle

Tietoturvallisuuden tarkoituksena valtionhallinnossa on varmistaa viranomaisen toiminnan jatkuvuus ja laatu sekä oikeusturvan toteutuminen. Tässä ohjeessa annetaan ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen (681/2010; jäljempänä tietoturvallisuusasetus, TTA) täytäntöönpanosta.

Ohje on tarkoitettu organisaatioiden johdolle sekä niiden toimintaprosesseista, turvallisuudesta, tietopalveluista ja tietohallinnosta vastaaville

Valtionhallinnon viranomaisten yleinen velvollisuus huolehtia tietoturvallisuudesta perustuu viranomaisten toiminnan julkisuudesta annettuun lakiin (621/1999; jäljempänä julkisuuslaki, JulkL). Lain mukaan viranomaisten on huolehdittava, että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen suoja, eheys ja laatu turvataan asianmukaisin menettelytavoin ja tietoturvajärjestelyin ottaen huomioon tietojen merkitys ja käyttötarkoitus sekä asiakirjoihin ja tietojärjestelmiin kohdistuvat uhkatekijät ja tietoturvatoimenpiteistä aiheutuvat kustannukset (18 § 2 mom. 4 k).

Valtioneuvoston 1.7.2010 julkisuuslain nojalla antamaa tietoturvallisuusasetusta sovelletaan valtionhallinnon viranomaisiin. Näillä tarkoitetaan valtion hallintoviranomaisia ja muita valtion virastoja ja laitoksia sekä tuomioistuimia ja muita lainkäyttöviranomaisia (3 § 1 k). Asetuksella kumottiin viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallinta-tavasta annetun asetuksen (1030/1999; jäljempänä julkisuusasetus, JulkA) 2 ja 3 §.

Tietoturvallisuusasetus tuli voimaan 1.10.2010. Asetukseen sisältyy siirtymäaikaa koskevat säännökset. Näiden mukaan viranomaisen on saatettava tietojenkäsittelynsä vastamaan asetuksen 5 §:ssä säädettyjä perustason tietoturvavaatimuksia kolmen vuoden kuluessa asetuksen voimaantulosta eli 30.9.2013 mennessä.

Asetuksessa säädetään viranomaisen asiakirjojen käsittelyä koskevista yleisistä tietoturva-vaatimuksista sekä asiakirjojen luokittelusta ja niitä vastaavista asiakirjojen käsittelyä koskevista vaatimuksista. On syytä huomata, että asiakirjalla tarkoitetaan asetuksessa myös sähköisessä muodossa tai muutoin teknisenä tallenteena talletettuja tietoaineistoja. Sääntely kohdistuu ensijäisesti salassa pidettäviin asiakirjoihin (TTA 8 §; 9 § 2 mom.).

Asiakirjojen luokittelu ei asetuksen mukaan ole pakollista. Viranomaisen on syytä päättää, ottaako se luokittelun käyttöön ja milloin. Luokittelua vastaavat käsittelyvaatimukset on toteutettava 5 vuoden kuluessa siitä, kun luokittelu otetaan käyttöön. Viranomaisella on mahdollisuus kohdistaa luokittelu vain tiettyihin asiakirjoihin tai sellaisiin asiakirjan käsit-telyvaiheisiin, joissa toimenpiteet suojattavan edun vuoksi ovat tarpeen (TTA 8 § 1 mom.)

Luokittelun käyttöönoton suunnittelu on tärkeää. Luokituksen on määrä helpottaa viranomaisten välistä salassa pidettävien tietojen vaihtoa, minkä vuoksi luokittelu on erityisen suositeltavaa toteuttaa viranomaisissa, jotka joko saavat toisilta viranomaisilta tai luovuttavat muille viranomaisille säännönmukaisesti ja massaluonteisesti salassa pidettäviä asiakirjoja.

Virastoissa on tarpeen varmistaa, että kaikki tietoturvallisuusasetuksen 5 §:ssä säädetyt tietoturvallisuuden perustason vaatimukset täytetään asetuksessa edellytetyssä kolmen vuoden siirtymäajassa. Tätä koskeva selvitys- ja valmistelutyö on tarpeen organisoida syksyn 2010 aikana.

Tietoturvavaatimusten ja yleisemminkin julkisuuslaissa säädetyn hyvän tiedonhallintatavan toteuttamiseksi on viranomaisen tärkeätä varmistaa, että

  • viranomaisen hallussa olevat asiakirjat on kartoitettu ja niihin sisältyvien tietojen merkitys arvioitu julkisuusasetuksen 1 §:ssä säädetyllä tavalla. Toimintaan liittyvät tietoturvariskit on kartoitettu ja tietoturvallisuuden toteuttaminen on suunniteltua (TTA 4 §, 5 § 1 mom.1 k),
  • viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään;
  • asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään ja asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi;
  • tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi;
  • tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä;
  • asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja;
  • henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla;
  • henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä;
  • annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti;
  • toteutetaan järjestelyt, joiden avulla voidaan varmistaa, että asetettuja tietoturvavaatimuksia noudatetaan myös silloin, kun viranomaisen asiakirjoja käsitellään toimeksiantosopimuksen perusteella esim. tietojenkäsittelyn palveluyrityksissä (TTA 6 §);
  • pidetään huolta, että virkamiehet tietävät luokittelumerkintöjen merkityksen ja sen, että ne eivät vapauta viranomaista velvollisuudesta asiakirja- ja tapauskohtaisesti arvioida julkisuuslain ja sen ratkaisukäytännön mukaisesti asiakirjan julkisuutta siitä tietoja julkisuuslain nojalla pyydettäessä.

 

Tietoturvallisuusasetus ja tämä ohje ovat tärkeä osa valtiohallinnon tietoturvallisuuden kehittämistä koskevan valtioneuvoston periaatepäätöksen 26.11.2009 toimeenpanoa.

Tämä ohje korvaa VAHTIn aikaisemmat ohjeet Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje (VAHTI 2/2000) ja Arkaluonteiset kansainväliset tietoaineistot (VAHTI 4/2002). Ohje on näitä edellisiä huomattavasti kattavampi.

Lyhyesti VAHTIsta

Valtiovarainministeriö ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden linjaukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.

VAHTI edistää hallitusohjelman, Yhteiskunnan elintärkeiden toimintojen strategian (YETT), valtion IT-strategian, valtioneuvoston huoltovarmuuspäätöksen, kansallisen tietoturvastrategian, valtioneuvoston periaatepäätöksen valtion tietoturvallisuuden kehittämisestä ja hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä valtion tietoturvallisuutta ja siihen liittyvää yhteistyötä.

Valtioneuvosto teki 26.11.2009 periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä. Periaatepäätös korostaa VAHTIn asemaa ja tehtäviä hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elimenä. Peiaatepäätöksen mukaisesti hallinnonalat kohdistavat varoja ja resursseja tietoturvallisuuden kehittämiseen ja VAHTIssa koordinoitavaan yhteistyöhön.

VAHTI toimii hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta astaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä sekä edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä.

VAHTIn toiminnalla parannetaan valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on aikaansaatu yksi maailman kattavimmista yleisistä tietoturvaohjeistoista (www.vm.fi/vahti). VM:n ja VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishankkeita sekä laaja valtion tietoturvallisuuden kehitysohjelma.

VAHTI on saanut kolme kertaa tunnustuspalkinnon esimerkillisestä toiminnastaan Suomen tietoturvallisuuden parantamisessa.

Tulosta