Sisäverkko-ohje

 

Sisäverkko-ohje

VALTIOVARAINMINISTERIÖ
PL 28 (Snellmaninkatu 1 A) 00023 VALTIONEUVOSTO
Puhelin 09 16001 (vaihde)
Internet: www.vm.fi
Taitto: Pirkko Ala-Marttila/VM-julkaisutiimi
ISSN 1455-2566 (nid)
ISBN 978-952-251-138-6 (nid)
ISSN 1798-0860 (PDF)
ISBN 978-952-251-139-3 (PDF)

SISÄVERKKO-OHJE

Valtiovarainministeriön (VM) Sisäverkko-ohjeen tavoitteena on yhtenäistää ja tehostaa menettelyitä sisäverkkojen rakentamisessa sekä tukea sopivan tietoturvatason käyttöönottoa organisaatioissa. Ohje korvaa valtiovarainministeriön vuonna 2001 antaman suosituksen lähiverkkojen tietoturvallisuudesta (VAHTI 2/2001). Sisäverkkoohjetta tulee hyödyntää yhdessä VM:n aiemmin antaman tietoturvallisuusasetuksen täytäntöönpanon yleisohjeen VAHTI 2/2010 kanssa.


Sisäverkon tietoturvaohje on soveltamisohje 1.10.2010 voimaantulleelle Valtioneuvoston asetukselle tietoturvallisuudesta valtionhallinnossa (1.7.2010/681, jäljempänä tietoturvallisuusasetus). Tietoturvallisuusasetukseen sisältyvien siirtymäaikasäännösten mukaan viranomaisen on saatettava tietojenkäsittelynsä vastamaan asetuksen 5 §:ssä säädettyjä perustason tietoturvavaatimuksia kolmen vuoden kuluessa asetuksen voimaantulosta eli 30.9.2013 mennessä.


Asiakirjojen ja tietoaineistojen luokituksen on määrä helpottaa viranomaisten välistä salassa pidettävien tietojen vaihtoa. Luokittelua vastaavat vaatimukset on toteutettava viiden vuoden kuluessa siitä, kun luokittelu otetaan käyttöön viranomaisessa. Sisäverkon tietoturvaohje on tarkoitettu valtionhallinnon sisäverkkojen rakenteesta, rakentamisesta ja tietoturvallisuudesta vastaaville. Ohjetta käytetään sisäverkkoja rakennettaessa sekä niiden ulkoistuksissa ja tietoturva-auditoinneissa, ja siihen sisältyy sisäverkkoja koskevat perus-, korotetun ja korkean tietoturvatason linjaukset. Ohjeessa kerrotaan myös kuhunkin verkon osa-alueeseen liittyvät uhat ja taustoitetaan näitä teknisesti. Myös kansainvälisiä tietoaineistoja koskevia käsittelyvaatimuksia on otettu huomioon.


Viraston johdon tulee huolehtia ohjeen noudattamisesta ja siitä, että sisäverkkojen vastuuhenkilöt tuntevat ohjeen sisällön. Ohjeen mukaisella toiminnalla viranomainen voi saavuttaa sisäverkoissaan asetuksen mukaiset tietoturvatasot sekä tasapainottaa riskienhallinnan ja kustannustehokkuuden.

Lyhyesti VAHTIsta

Valtiovarainministeriö ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden linjaukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta. VAHTI edistää hallitusohjelman, Yhteiskunnan elintärkeiden toimintojen strategian (YETT), valtion IT-strategian, valtioneuvoston huoltovarmuuspäätöksen, kansallisen tietoturvastrategian, valtioneuvoston periaatepäätöksen valtion tietoturvallisuuden kehittämisestä ja hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä valtion tietoturvallisuutta ja siihen liittyvää yhteistyötä.

Valtioneuvosto teki 26.11.2009 periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä. Periaatepäätös korostaa VAHTIn asemaa ja tehtäviä hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elimenä. Peiaatepäätöksen mukaisesti hallinnonalat kohdistavat varoja ja resursseja tietoturvallisuuden kehittämiseen ja VAHTIssa koordinoitavaan yhteistyöhön.

VAHTI toimii hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta astaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä sekä edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä. VAHTIn toiminnalla parannetaan valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti.

Tuloksena on aikaansaatu yksi maailman kattavimmista yleisistä tietoturvaohjeistoista (www.vm.fi/vahti). VM:n ja VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishankkeita sekä laaja valtion tietoturvallisuuden kehitysohjelma.

 

Johdon yhteenveto

Tämä ohje on tarkoitettu valtionhallinnon sisäverkkojen rakenteesta, rakentamisesta ja tietoturvallisuudesta vastaaville. Ohjetta käytetään sisäverkkoja rakennettaessa sekä niiden ulkoistuksissa ja tietoturva-auditoinneissa. Viraston johdon tulee huolehtia ohjeen noudattamisesta ja siitä, että alueen vastuuhenkilöt tuntevat ohjeen sisällön.
 

Sisäverkon tietoturvaohje on soveltamisohje 1.10.2010 voimaantulleelle Valtioneuvoston asetukselle tietoturvallisuudesta valtionhallinnossa (1.7.2010/681, jäljempänä tietoturvallisuusasetus). Tietoturvallisuusasetusta sovelletaan valtion viranomaisiin, joilla tarkoitetaan valtion hallintoviranomaisia sekä muita virastoja ja laitoksia. Ohje korvaa valtiovarainministeriön vuonna 2001 antaman suosituksen lähiverkkojen tietoturvallisuudesta (VAHTI 2/2001).


Ohjeen tavoitteena on yhtenäistää menettelyitä sisäverkkojen rakentamisessa sekä tukea sopivan tietoturvatason käyttöönottoa organisaatioissa. Ohjeessa sisäverkolla tarkoitetaan viraston toimipisteiden paikallisten lähiverkkojen ja niitä yhdistävien verkkojen muodostamaa kokonaisuutta. Sisäverkon tietoturvaohjeessa kerrotaan kuhunkin verkon osa-alueeseen liittyvät uhat ja taustoitetaan näitä teknisesti. Kullekin osa-alueelle annetaan suositukset, vahvat suositukset sekä vaatimukset tietoturvallisuuteen liittyville varotoimille perus-, korotetulle ja korkealle tietoturvatasolle.


Käsiteltäviä osa-alueita ovat yhteistyökumppaniyhteydet, verkon kaapelointi, langattomat verkot, aktiivilaitteet, sisäverkon yhteydet, päätelaitteet, palvelut, tunnistautuminen, verkon hallinta ja valvonta sekä jatkuvuussuunnittelu.

Sisäverkon tietoturvaohje on tarkoitettu käytettäväksi seuraavissa asiayhteyksissä

  • Tietoturvallisuusasetuksen soveltaminen: Tämä sisäverkon tietoturvaohje antaa suositukset ja vaatimukset sisäverkon tietoturvallisuuden varotoimiin.
  • Sisäverkon rakentaminen: Uusi sisäverkko on rakennettava ohjeen mukaan ja sen mukaista toteutusta on vaadittava verkon rakentamiseen liittyvissä kilpailutuksissa.
  • ICT-alueen ulkoistukset: Ulkoistettaessa verkkoon liittyviä toimintoja, tarjouspyynnöissä ja palveluissa on vaadittava, että tuotettava palvelu on vähintään ohjeen mukainen.

 

A Esittely

A.1 Työryhmän kokoonpano

Tämä ohje on laadittu Valtionhallinnon tietoturvallisuuden johtoryhmän VAHTIn alaisena ja ohjaamana . Ohjeen laatineen Lähiverkkojen tietoturvaohjeen uusimisryhmän jäseninä olivat:

  • Kimmo Janhunen, Valtiokonttori, ryhmän puheenjohtaja 1.1.2010 alkaen
  • Kari Keskitalo, Valtiokonttori, ryhmän puheenjohtaja 31.12.2009 saakka
  • Max Hamberg, Valtionvarainministeriö
  • Urpo Kaila, CSC
  • Kari Keskiväli, Puolustusvoimat
  • Mats Kommonen, Turun yliopisto
  • Kimmo Rousku, Valtiokonttori, 1.10.2009 alkaen
  • Tapio Salonsalmi, Suomen Kuntaliitto

Ohjeen laadintaan konsultteina osallistuivat KPMG:n asiantuntijat: Matti Järvinen, Kari Saarelainen ja Samuel Korpi. Ohjeen luonnos oli avoimella ja laajalla lausuntokierroksella 12.3.2010 – 7.4.2010. Saadut lausunnot käsiteltiin työryhmän kokouksissa 3.5.2010 – 4.5.2010 ja huomioitiin ohjeen lopulliseen versioon. VAHTI päätti ohjeen julkistamisesta syyskuussa 2010 pidetyssä kokouksessa.

 

A.2 Ohjeen tarkoitus ja rajaus


Valtio kehittää omaa tietoturvallisuuttaan jatkuvasti. Yhtenä osoituksena tästä ovat valtionhallinnon organisaatioille asetetut tarkentuvat vaatimukset. Esimerkkeinä tästä ovat Valtioneuvoston periaatepäätös tietoturvallisuuden kehittämisestä (VAHTI 7/2009) julkaistu (26.11.2009), tietoturvallisuusasetus sekä siihen liittyvä Ohje tietoturvallisuusasetuksen täytäntöönpanosta (VAHTI 2/2010) sekä Kansallisen turvallisuusauditointikriteeristön (KATAKRI) ja ICT-varautumisen vaatimusten valmistelu Tämä ohje on päivitetty ja korvaava versio Valtionhallinnon lähiverkkojen tietoturvallisuus –suosituksesta (VAHTI 2/2001). Työryhmän tavoitteena oli valmistella soveltamisohje tietoturvallisuusasetuksen ja tietoturvatasojen määrityksille. Ohjeen velvoittavuus tulee tietoturvallisuusasetuksen kautta.
 

Ohjeen avulla on mahdollista

  • Parantaa tietoturvallisuuden tasoa yhtenäistämällä tietoturvavaatimuksia valtionhallinnon sisäverkoissa
  • Tukea organisaatioita sisäverkkojen tietoturvallisuuden varmistamisessa ja kehittämisessä
  • Levittää jo olemassa olevia hyviä käytäntöjä organisaatioihin.

Suomi on valtiona sitoutunut lukuisissa sopimuksissa ja oman lainsäädäntönsä kautta suojaamaan sitä sopijakumppanin luokittelemaa tietoa, jonka suomalainen viranomainen tai yksittäinen henkilö saa haltuunsa. Tässä ohjeessa kansainvälisellä tietoaineistolla ymmärretään Suomen sopijakumppaneiden – olivatpa kyseessä yksittäiset maat tai kansainväliset organisaatiot – tuottamaa tietoa, joihin kyseisillä sopijakumppaneilla on tuottajanäkökantaan perustuen tiedon omistusoikeus. Laissa kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) säädetään yksiselitteisesti kansainväliselle luokitellulle tietoaineistolle sen mukainen suoja, kuin mitä Suomen ja kansainvälisen sopijakumppanin välisessä sopimuksessa on sovittu.


Esimerkiksi EU:n turvallisuusluokiteltua tietoa [1] käsitellään useissa valtionhallinnon virastoissa ja laitoksissa ja tältä käsittelyltä edellytetään tiedon omistajan (toimivaltaisen viranomaisen) vaatimusten täyttämistä. Koska kansalliset ja kansainväliset suojausvaatimukset eroavat tietyin osin, on tässä ohjeessa pyritty tuomaan esille joitakin keskeisiä lisäsuojausvaatimuksia, joita kansainvälisen aineiston käsittely edellyttää. Eroavaisuudet tullaan kuvaamaan valmisteilla olevassa NSAn ”Kansainvälisen tietoaineiston käsittelyohjeessa”. Kaikkia vaatimuksia ei välttämättä voida toteuttaa sellaisenaan kaikissa sisäverkkokokoonpanoissa.
 

Tässä ohjeessa on pyritty esittämään tuote- ja toimittajariippumattomasti sisäverkkojen tietoturvallisuutta edistävät toimenpiteet. Tekniset ratkaisut kehittyvät jatkuvasti. Ohje on pyritty rakentamaan siten, että siitä on hyötyä myös uusien sisäverkkoteknologioiden käyttöönotossa.
 

Organisaation johto voi käyttää ohjetta hallinnollisten ja organisatoristen velvollisuuksiensa selvittämiseen sekä vastuualueiden ja tehtävien jakamiseen. Sisäverkon vastuuhenkilöt voivat käyttää ohjetta verkkojensa tietoturvallisuuden arviointiin, tietoturvallisuutta parantavan toimenpideohjelman laatimiseen ja tarvittavien muutosten tekemiseen.

 

Organisaatiokohtaisen arvioinnin perusteella tulee harkita tarvittavat toimenpiteet. Toimenpiteissä on otettava huomioon verkossa käsiteltävien tietoaineistojen luokitus sekä yhteen sovitettava tarkoituksenmukaisuus-, taloudellisuus- ja tehokkuusvaatimukset.

Ohje pyrkii vaikuttamaan siihen, että  tietojärjestelmien tietoturvallisuudesta huolehtiminen kokonaisuutena olisi vakioitujen ja hyväksyttävien menettelytapojen mukaista. Tällöin tietoturvallisuuden taso ei riipu yksittäisestä kulloinkin vastuussa olevasta henkilöstä, mikä kokonaisuutena parantaa myös järjestelmien tietoturvallisuutta. Ohjetta käytettäessä on syytä muistaa, että tietojärjestelmiin liittyvät tietoturvatarpeet ovat erilaisia. Siten mm. tarkoituksenmukaisuus-, taloudellisuus- ja tehokkuussyistä kaikkien järjestelmien osalta ei ole välttämättä tarvetta edes pyrkiä vaativimmalle tasolle. Suojattavien kohteiden rajaamisella saavutetaan näin kustannustehokkuutta.

Ohjeessa ei käsitellä sisäverkon sovelluksia, palvelimia tai päätelaitteita lukuun ottamatta näiden verkkoliitäntöjä. Poikkeuksena ovat verkon toiminnan kannalta olennaiset esimerkiksi ns.infrastruktuurisovellukset. Niiltä osin kuin ohjeen aihepiiriin liittyvistä osa-alueista on jo annettu erilliset suositukset tai ohjeet (esim. ulkoistus, etätyö, tietoaineistojen käsittely, virustorjunta, tietojärjestelmäkehitys), viitataan tekstissä kyseisiin dokumentteihin. VAHTI-ohjeet on listattu kappaleessa 19. Ohjeen lukemista helpottaa erityisesti Valtionhallinnon tietoturvasanasto (VAHTI 8/2008).

 

A.3 Ohjeen rakenne


Johdanto ohjaa lukijan aihepiiriin ja valottaa hieman hankkeen taustaa. Tämän jälkeen määritellään tarkemmin kohde eli sisäverkko, joka nykyisellään ei ole yhtä yksiselitteinen kuin aikanaan – tai ainakin sitä käytetään laajemmissa yhteyksissä.

Seuraavaksi, kappaleessa 3, esitellään lyhyesti yleisimmät tietoliikennemallit ja protokollat. Tämä luo teoreettisen pohjan kappaleen 4 palvelulähtöiselle näkökulmalle verkon eri tasoihin.

Kappaleessa 5 käydään läpi sisäverkon rakenne. Tämän jälkeen tuodaan esiin sisäverkkojen tietoturvallisuuden kannalta keskeiset suojattavat kohteet ja niitä uhkaavat tekijät. Omana kappaleenaan on käsitelty nykymaailmassa yhä tärkeämmäksi muodostunutta yhteistyökumppanien ja toimittajaverkoston kanssa toimimista.
 

Kappaleesta 9 lähtien käydään läpi sisäverkon eri osa-alueita, kaapeloinnista verkon laitteiden kautta verkon palveluihin. Langattomat lähiverkot käsitellään omana kappaleenaan.

Kappaleiden perusrakenne on samanlainen. Kappaleen alussa on johdanto aihe-alueeseen. Teknologiatausta-osio on informatiivinen ja siinä on pyritty esittelemään sellaiset asiat, jotka ovat alttiimpia teknologian vanhentumiselle.

Tarkistuslista sisältää alueeseen liittyvät vaatimukset. Kaikki vaatimukset kattava eri alueiden tarkastuslistojen yhteenvetotaulukko on ladattavissa sähköisesti Valtion IT-palvelukeskuksen (VIP) sivuilta tämän ohjeen kanssa.
 

Suosituksen jälkimmäinen puolisko käsittelee tietoturvallisuuden kannalta tärkeitä tunnistautumista, verkon hallintaa ja valvontaa sekä jatkuvuussuunnittelua. Lopuksi esitetään kootusti virastoilta edellytettävät toimenpiteet ja niihin liittyvät valvontamenettelyt.


Ohjeessa käytetään seuraavia tietoturvallisuusasetuksen ja sen täytäntöönpanon ohjeen VAHTI 2/2010 -mukaisia tietoturvatasoja:

  • Perustaso
  • Korotettu taso
  • Korkea taso

Eri tietoturvatasoilla käytetään seuraavia termejä kuvaamaan kontrollien tärkeyttä ja toteuttamisvelvollisuutta:

  • Pakollinen vaatimus: Organisaation täytyy ottaa tämän ohjeen mukainen toiminto käyttöön. Poikkeuksen voi tehdä vain siinä tapauksessa, että kirjallisen riskianalyysin mukaan siitä seuraa vain pieni riski ja toiminnon toteuttaminen vaatii runsaasti resursseja sekä verkon omistaja hyväksyy etukäteen toteutettavan ratkaisun. Kansainvälisen turvallisuusluokitellun aineiston osalta Viestintäviraston NCSA-FI -yksikön on hyväksyttävä etukäteen toteutettava ratkaisu kirjallisesti. Riskianalyysiin on saatavilla VIP:in Tietoturvapalveluista prosessiohje ja työväline.
  • Vahva suositus: Organisaatio voi tehdyn kirjallisen riskianalyysin perusteella olla ottamatta suosituksen mukaista toimintoa käyttöön.Riskianalyysiin on saatavilla VIP:n Tietoturvapalveluista prosessiohje ja työväline.
  • Suositus: Hyvä käytäntö, jonka organisaatio voi halutessaan ottaa käyttöön.

Tässä ohjeessa kontrollin velvoittavuus tulee kunkin osa-alueen yhteydessä olevista, kontrollit sisältävistä tarkastuslistoista, ei tekstisisällöstä.

[1] Turvallisuusluokitellulla tiedolla tarkoitetaan viranomaisten toiminnan julkisuudesta annetun
lain 24 §:n 1 momentin 2 ja 7—10 kohdissa tarkoitettuja tietoja.

Tulosta