Valtionhallinnon salauskäytäntöjen tietoturvaohje

 

Valtionhallinnon salauskäytäntöjen tietoturvaohje

VALTIOVARAINMINISTERIÖ
PL 28 (Snellmaninkatu 1 A) 00023 VALTIONEUVOSTO
Puhelin 09 16001 (vaihde)
Internet: www.vm.fi
Taitto: Pirkko Ala-Marttila/VM-julkaisutiimi

ISSN 1455-2566
ISBN 978-951-804-805-6 (nid)
ISBN 978-951-804-806-3 (pdf)

Edita Prima Oy
Helsinki 2008

Keskustelualueet

Esipuhe

Valtiovarainministeriö (VM) vastaa julkishallinnon tietoturvallisuuden ohja­uksesta ja kehittämisestä. Ministeriö on asettanut Valtionhallinnon tietotur­vallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTI tukee toiminnallaan valtioneu­vostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtion­hallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.

VAHTIssa käsitellään kaikki merkittävät valtionhallinnon tietoturvalin­jaukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI käsittelee valtionhal­linnon tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset sekä ohjaa valtionhallinnon tietotur­vatoimenpiteitä. VAHTIn käsittelyn kohteina ovat kaikki tietoturvallisuuden osa-alueet.

VAHTIn toiminnalla on parannettu valtion tietoturvallisuutta ja työn vai­kuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on aikaansaatu erittäin kattava yleinen tietoturvaohjeisto (www. vm.fi/VAHTI). Valtiovarainministeriön ja VAHTIn johdolla on menestyksel­lisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishankkeita. VAHTI on valmistellut, ohjannut ja toteuttanut valtion tietoturvallisuuden kehitysohjelman, jossa on aikaansaatu merkittävää kehitystyötä yhteensä 26 kehityskohteessa yli 300 hankkeisiin nimetyn henkilön toimesta.

VAHTI edistää verkostomaisen toimintatavan kehittämistä julkishallin­non tietoturvatyössä.

Valtionhallinnon lisäksi VAHTIn toiminnan tuloksia hyödynnetään laa­jasti myös kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. VAHTI on saanut kolmena perättäisenä vuo­tena tunnustuspalkinnon esimerkillisestä toiminnasta Suomen tietoturvalli­suuden parantamisessa.

Tämän ohjeen ovat yhteistyössä laatineet VAHTIn alainen salauskäytän­nöt- ja varmenteet- työryhmistä yhdistetty työryhmä. Ohje on viimeistelty laajan lausuntokierroksen palautteen pohjalta ja hyväksytty viimeisteltäväksi ja julkaistavaksi VAHTIn kokouksessa joulukuussa 2007. Ohje korvaa aiemman VAHTI-julkaisun Salauskäytäntöjä koskeva valtionhallinnon tietoturvallisuus­suositus, VAHTI 3/2001.

 

Johdon tiivistelmä

Salausratkaisu on kokonaisuus, jolta vaaditaan toiminnallisuutta ja luotetta­vuutta.

Tähän tarvitaan prosessit, riittävä osaaminen ja tarkoituksenmukainen tekniikka.

Salaus ei ole yksittäinen teknologia vaan yksi kontrollien mahdollistaja. Kaikkia kontrolleja tulee hyödyntää aktiivisesti, ja kaikkien kontrollien tulee tukea toisiaan osana tiedon suojausta.

Vaatimukset salaukselle johdetaan seuraavista: Kansainväliset linjaukset, vaatimukset luokitellun tiedon suojaamisesta, toiminnallinen yhteensopivuus, tarve- ja tilannekohtaisuus sekä tapa työskennellä.

Yhteensopivuus todennusratkaisujen kanssa on aina lisäarvo. Väestöre­kisterikeskus katsotaan luotetuksi varmennetoimittajaksi. Virkamieskortin ja sähköisen henkilökortin käyttöä edistetään.

Osapuolet eivät aina ole henkilöitä. Laitteiden, ohjelmistojen tai muiden olioiden välinen luottamus on tärkeätä. Tätä edistetään standardien hyödyn­tämisellä ja ohjelmistovarmenteilla.

Algoritmi- ja avainkysymykset voivat olla kynnyskysymyksiä, mutta ohjeis­tettavissa tarkasti. Esimerkiksi algoritmi AES, tiivistefunktio SHA, avainpituus kaksinkertainen AES -avaimesta.

Tuotteiden kypsyys on kohtuullisen hyvä. Haasteet ovat integroinneissa ja prosesseissa. Sähköpostisuositukset ovat osin tapauskohtaisia niin kauan, kun ratkaisut ovat heterogeenisia.

Salausratkaisun käyttöönotto on prosessi, jossa painotetaan tavoitteita ja valmiuksia:

Tiedon, järjestelmän ja salausratkaisun elinkaaret ovat erimittaiset. Näiden elinkaarten hallinta edellyttää valmistautumista. Organisaatiolla on oltava riittävä kypsyys ja kyvykkyys.

Salausratkaisut edistävät avoimuutta, luottamusta ja luotettavuutta.

 

 

Tulosta