6 KEHITYSOHJELMAN TOIMEENPANO

Tietoturvallisuuden kehittäminen on pitkäjänteistä työtä, jossa yhdistyy toisaalta valmius vastata nopeasti ilmeneviin akuutteihin uhkiin, toisaalta asenteita ja valmiuksia luova hitaasti vaikuttava työ.

Varsinaiset hankesuunnitelmat tehdään vasta kun kehityskohteista syntyviin hankkeisiin on nimetty vastuulliset tahot ja projektipäälliköt. Toteuttajille varataan mahdollisuus vaikuttaa hankkeen lopulliseen sisältöön, toteutustapoihin ja resurssitarpeisiin. On myös mahdollista yhdistää useita hankkeita yhdeksi kokonaisuudeksi.

Kehitysohjelman toteutus vaatii resursseja. Ensisijaisesti tämä tarkoittaa nykyisten resurssien kohdentamista tietoturvallisuustyöhön valtionhallinnon jokaisella tasolla.

Pyritään siihen, että ministeriöt ja hallinnonalat varmistavat sekä vuotta 2005 koskevassa budjettiprosessissa että TTS-prosessissa tietoturvallisuuden edellyttämät resurssit.

Tämä toimeenpanosuunnitelma on vain ehdotus, sillä tietoturvatyössä on vaikea ennakoida pitkälle tulevaisuuteen. Osa tässä esitetyistä hankkeista saattaa menettää merkityksensä ja uusia hanketarpeita voi ilmetä.

Kehitysohjelman toteuttamisen alustava aikataulu ja osallistuvat tahot on esitetty liitteessä ” Kehitysohjelman aikataulu ja toteuttajat”.

6.1 Kehitysohjelman kokonaisvastuu

Tietoturvan kehitysohjelman vastuullinen ministeriö on valtiovarainministeriö, jonka tukena käytännön koordinoinnista, seurannasta ja yhteensovittamisesta huolehtii VAHTI. VM ja VAHTI huolehtivat hankkeisiin vastuullisten tahojen nimeämisestä sekä hankkeiden etenemisen seurannasta ja yhteistoiminnan koordinoinnista.

Kehitysohjelmasta tullaan tiedottamaan laajasti. Kehitysohjelmaan kuuluvien hallinnon kehittämiseen ja tietoyhteiskunnan edistämiseen liittyvien asiakokonaisuuksien johdosta ministeriöiden kansliapäälliköille ja muulle johdolle sekä tietoyhteiskuntaohjelman ministeriryhmälle ja johdolle tiedottaminen on poikkeuksellisen tärkeää.

Valtionhallinnon tietoturvallisuuden kehittämisohjelma toteuttamisen kannalta on tärkeää, että koko ohjelman toteutumista valvovan ja koordinoivan valtiovarainministeriön tietoturvatyön resurssit turvataan.

6.2 Kehittämisohjelman arviointi

Tietoturvatyölle luonteenomaista on uusien uhkien ilmaantuminen nopeassa syklissä. Näin ollen tietoturvaympäristön kehityksen ennustaminen pitkälle tulevaisuuteen on käytännössä mahdotonta, vaikka eräät altistavat tietoturvauhat lienevät luonteeltaan hyvin pysyviä. Valtionhallinnon tietoturvallisuuden kehitysohjelma ulottuu vuoteen 2006. Jotta kehitysohjelman kokonaisuuden tavoite - valtionhallinnon tietoturvallisuuden parantaminen - toteutuisi, on ohjelman toteutumista seurattava ja arvioitava kokonaisuutena eikä vain yksittäisinä hankkeina.

Kehitysjakson puolivälissä VAHTI tulee arvioimaan kehitysohjelman toteutumista ainakin seuraavien kriteerien osalta:

• Miten kehityskohteiden toteutus on edennyt?
• Onko tarpeen muuttaa kehityskohteiden prioriteetteja, aikatauluja, vastuullisia tahoja tai muita ominaisuuksia?
• Onko tarvetta lisätä kehityskohteita?
• Onko tarvetta poistaa kehityskohteita?

Arvioinnin perusteella VAHTI tekee tarvittavat lisäykset, poistot ja muutokset.

6.3 Korkeimman prioriteetin hankkeet ja kehittämiskohteet

Prioriteetiltaan tärkeimmiksi kehityskohteiksi työryhmä arvioi seuraavat:

• Roskaposti eli späm.
• Tietoturvallisuuden tulosohjaus ja mittaaminen.
• Tietoturvallisuuden sitominen virastojen palveluihin ja prosesseihin.
• Valtionhallinnon yhteishankkeet ja hankintayhteistyö.
• VAHTIn toiminnan vahvistaminen.
• Perusinfrastruktuurin tietoturvallisuus.
• Peruskäyttäjän tietoturvatyön tukeminen.

Näiden kaikkien läpivienti tulee aloittaa ensi tilassa, ja jo käynnissä olevien hankkeiden menestyksellinen läpivienti on varmistettava.

Roskapostin vastaisen kehittämisohjelmaan kuuluvan ohjeen laadinnasta vastaa VAHTI ja sitä valmisteleva työryhmä perustetaan vuoden 2004 ensimmäisellä neljänneksellä. Valmisteilla olevan lainsäädäntötyön resurssit varmistetaan ja työn päätyttyä asiasta tiedotetaan aktiivisesti niin valtionhallinnon sisällä kuin yrityksiin ja mahdollisuuksien mukaan yksityisille. VM aloittaa keväällä valmistelut roskapostin torjuntaan käytettävien ohjelmien liittämiseksi valtionhallinnon  puitesopimuksiin. Roskapostin vastaisissa toimissa keskeisiä toimijoita ovat Viestintävirasto, LVM, VM, VAHTI ja tietosuojavaltuutettu.

Tietoturvallisuuden tulosohjauksen ja mittaamisen kehittäminen vaikuttaa positiivisesti moneen muuhun tietoturvallisuuden kehittämiskohteeseen, joten myös tämä hanke on käynnistettävä pikaisesti. Tavoitteena on viedä asiaa koskeva VAHTI-ohje käytäntöön vaikuttamalla etenkin ministeriöiden kansliapäälliköihin ja muuhun johtoon. Valtionhallinnon yleiseen ohjaukseen rinnastettavana toimena tietoturvallisuuden tulosohjauksen kehittämisen päävastuu on VM:llä. Ratkaisevaa on jokaisen ministeriön vastuulla tapahtuva hallinnonalakohtainen kehittäminen ja toteutus.

Tietoturvallisuuden sitominen virastojen palveluihin ja prosesseihin on edellisiä laajempi kokonaisuus, jossa valtionhallinnon yhteisten toimien mahdollisuudet ovat rajatummat. Tietoturvallisuutta ja palveluita edistävien ratkaisujen (varsinkin käytettävyyden parantaminen) kartoittaminen aloitetaan keväällä 2004 ja jatketaan koko kehitysjakson ajan. Hallinnonalojen sisäisten toimien onnistumista seurataan VAHTIn kokouksissa kesästä 2004 alkaen.

Valtionhallinnon yhteishankkeiden valmistelu on VM:n ja VAHTIn vastuulla. Tietoturva-arviointien ja roskapostin torjuntaohjelmistojen puitesopimuksen valmistelu aloitetaan kesällä 2004. Saatetaan päätökseen salaustuotteiden yhteishankinta ja turvataan yhteishankkeiden edellyttämät VM:n resurssit.

VAHTIn ja VM:n tietoturvaohjauksen toiminnan vahvistaminen tulee ajankohtaiseksi heti tämän kehitysohjelman toteutuksen alkaessa. Mikäli sitovien määräysten antaminen toteutuu, korostuu molempien rooli entisestään. Koko kehitysohjelman suunnittelun, toteutuksen ja valvonnan kannalta on ensiarvoisen tärkeää, että näillä on käytössä tietoturvallisuuden parhaat asiantuntijat eri hallinnonaloilta.

Perusinfrastruktuurin tietoturvallisuuden kehittämisen toiminta jakautuu useille tahoille. VM koordinoi tätä jatkuvaa toimintaa valtionhallinnon sisällä.

Peruskäyttäjien tietoturvallisuuden tukeminen on kenties laajin ja moniulotteisin tämän kehitysohjelman asioista. Toteutusvastuu hajautuu kaikille hallinnonaloille ja mitä moninaisimpiin hankkeisiin. Kehityskohde on jatkuvaa toimintaa ja toteutumisen seurannassa on luotettava virastokohtaisiin arvioihin tavoitteiden toteutumisesta.

6.4 Tärkeät hankkeet ja kehittämiskohteet

Tärkeiksi vaikutuksiltaan merkittäviksi kehityskohteiksi arvioitiin seuraavat:
• Varmenteiden käytön edistäminen sähköpostissa.
• Tunnistaminen ja oikeuksien hallinta.
• Tietoturvaohjeistuksen kehittäminen.
• Tietoliikenneverkkojen ja päätelaitteiden tietoturvallisuus.
• Asiakasnäkökulman korostaminen.
• Sähköinen valvonta ja yksityisyyden suoja.
• Valtionhallinnon ympärivuorokautinen tietoturvapalvelu.
• Sitovien julkishallinnon tietoturvaa koskevien normien anto.
• Asianhallinnan tietoturvallisuus.
• Yhteistyö tietoyhteiskuntaohjelman kanssa.
• Yksityisyyden suojan yleinen kehittäminen.
• Kansainvälisen tietoturvayhteistyön kehittäminen.

Varmenteiden käytön edistäminen sähköpostissa perustuu SM:n, VM/VNTHY:n ja VAHTIn toimikorttiprojektien kokemuksiin. Varmenteiden käyttöönoton vaatimat tekniset ja hallinnolliset toimet valmistetaan ja toteutetaan koordinoidusti hankkeessa, joka aloitetaan vuoden 2004 ensimmäisellä neljänneksellä. Tämän rinnalla laaditaan puitesopimus toimikorttien ja niiden lukijalaitteiden hankinnasta.

Tunnistamisen ja oikeuksien hallinnan kehittäminen nivoutuu sekä varmenteiden käytön hankkeeseen että SM:ssä ja VM/VNTHY:ssa käynnissä olevien virkakorttihankkeiden tuloksiin. Kehittäminen aloitetaan vuoden 2004 aikana, ja panostusta lisätään vähitellen hankkeiden edistyessä.

Päätelaitteiden ja tietoliikenneverkkojen tietoturvallisuus tulee koko ajan ajankohtaisemmaksi.
Mobiililaitteiden teho niin tietojenkäsittelykapasiteetin kuin tietoliikennekapasiteetin osalta kasvaa jatkuvasti. Langattomien lähiverkkojen merkitys on tällä hetkellä erittäin pieni, mutta lisääntynee tulevaisuudessa. Näin ollen tarvittavat toimenpiteet käynnistetään vuoden 2004 loppupuolella. Hankkeen toteutuksesta vastaa VAHTI. LVM:n, Viestintäviraston ja operaattorien rooli on merkittävä.

Asiakasnäkökulman mukanaolo on jatkuvaa toimintaa, mutta valmisteilla olevan käytettävyyttä käsittelevän ohjeen julkistaminen tarjoaa mahdollisuuden asian edistämiseen. Tietosuojavaltuutetun rooli asiakasnäkökulman huomioimisessa on tärkeää.

Myös sähköisen valvonnan vaikutusten arvioinnissa tietosuojavaltuutetun rooli on keskeinen. Yhdistämällä tämä VM:n ohjeistukseen ja Viestintäviraston, OM:n sekä muiden toimijoiden asiantuntemukseen saadaan aikaan hanke, joka käynnistetään vuoden 2005 alkupuolella.

Valtionhallinnon ympärivuorokautisen tietoturvapäivystyksen tarvetta selvittämään perustetaan VAHTIn työryhmä.

Sitovien julkishallinnon tietoturvallisuutta koskevien normien antamisen tarpeellisuuden ja mahdollisuuden selvittäminen aloitetaan. Vastuullisena ministeriönä on valtiovarainministeriö.

Asianhallinnan tietoturvallisuus liittyy läheisesti sähköpostin tietoturvallisuuteen, joten hanke käynnistetään kun roskapostin torjunta ja varmenteiden käytön edistäminen ovat valmiita tai valmistumassa. Tällöin asian tärkeys on noussut entisestään, joten tuloksille on lisää kysyntää. Kehityskohteen toteutus edellyttää poikkeuksellisen laajaa yhteistyötä, joten sen toteuttamiseen osallistuvat ainakin VM, VAHTI, Valtipa, Arkistolaitos ja Juhta.

Yhteistyö tietoyhteiskuntaohjelman kanssa tulee olla jatkuvaa. Kukin ministeriö vastaa hallinnonaloillaan yhteyden pidosta tietoyhteiskuntaohjelmaan ja ohjelmassa vaikuttaviin henkilöihin.

Yksityisyyden suojan pitäminen kansainvälisesti hyvällä tasolla on jatkuvaa toimintaa, jossa Tietosuojavaltuutetun toimistolla on päävastuu. Oikeusministeriö ja muut ministeriöt vastaavat siitä, että toimiston toimintaedellytykset turvataan, ja että tietosuojakysymykset otetaan huomioon kaikessa toiminnassa. VM vastaa, että tietosuojaan liittyvistä asioista voidaan tarvittaessa julkaista VAHTI-ohjeita. Lisäksi huolehditaan, että VAHTI-ohjeita laativissa työryhmissä on riittävä tietosuojakysymysten ammattitaito. Tietoturvallisyystyön kansainvälistyminen edellyttää myös kansallisten toimijoiden tiiviistä yhteistyötä.

Kansainvälinen yhteistyö tietoturva-asioissa lisääntyy ja saa uusia muotoja. Kehityshankkeen
arvioidaan vaativan jatkuvaa panostusta, mutta resurssitarve ja toisaalta työstä saatavat hyödyt lisääntyvät kehitysjakson loppua kohti.

6.5 Muut hankkeet ja kehittämiskohteet

Muut kuin edellä luetellut kehittämiskohteet kuuluvat tähän luokkaan. Niiden toteutusprioriteetti ei tällä hetkellä ole yhtä korkea, mutta asiat ovat tästä huolimatta merkittäviä ja niiden toteuttaminen edistää valtionhallinnon tietoturvallisuutta.

Ohjelmien versiopäivitysten jakelun helpottamisesta olisi suuri apu tietohallintohenkilöstölle, mutta hankkeen toteuttaminen voi odottaa kehitysjakson loppupuolelle, jolloin hanketta tukevien ohjelmistoratkaisujen voidaan olettaa olevan nykyistä kehittyneempiä.

PET-teknologioiden edistämisessä ja tietoturvaratkaisujen integroinnissa tilanne on samankaltainen: käytännön sovellukset ovat vasta tulossa ja niiden tuomat mahdollisuudet tulevat ajankohtaisiksi kehitysjakson loppupuolella. Konkreettiset kehityshankkeet käynnistetään vasta, kun tuloksista voidaan olla varmoja. PET-teknologioiden osalta on otettava huomioon, että niissä on kyse myös palvelujen kehittäjille suunnattavasta tiedotuksesta.

Tietoturvaverkostojen, seminaarien ja hyvien toimintatapojen edistäminen toteutuu pitkälti muiden kehityskohteiden tai jo käynnissä olevien hankkeiden avulla. Verkottumisessa ja hyvien toimintatapojen edistämisessä päävastuu on vapaamuotoisella tietoturvaihmisten välisellä kommunikaatiolla, jota ei erillisellä hankkeella juurikaan voi vaikuttaa.

Arviointeja edistetään syksyllä 2003 julkaistun VAHTI-ohjeen implementoinnilla. Arviointien
merkitys kasvaa, joten työryhmä päätti odottaa niiden yleistymistä ennen kuin hankkeita käynnistetään. Arviointien edistämiseen tähtäävät kehityshankkeet vaativat resursseja, jotka ovat niukkoja ja joiden kohdentaminen on harkittava tarkasti. Aiheen ajankohtaisuus arvioidaan uudelleen kehitysjakson loppupuolella.

VAHTIn sivustoille avattava tietoturva-aiheinen keskustelufoorumi on hanke, jonka menestyksekäs toteuttaminen riippuu muiden kehityskohteiden toteuttamisesta: tunnistamismenettelyiden (HST- ja virkakortti) hankkeiden on oltava pitkällä, VAHTIn resursseja on vahvistettava ja  tietoturvaverkostojen syntyminen on oltava yleistä. Näin ollen työryhmä katsoi, että hankkeen prioriteetti ei ole kovin korkea, mutta sen toteuttaminen kehitysjakson loppupuolella on suotavaa.

 

Vahti- ylläpito08.10.2009 / 14:00:17
Tulosta