2. Keskeiset vaatimukset ICT-ympäristön tietoturvallisuuden toteuttamiseksi

Valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010) säädetään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvelvoitteista sekä asiakirjojen luokittelun perusteista ja luokiteltujen asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista. ”VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta” -ohje kuvaa yksityiskohtaisemmin vaatimuksia hyvän tiedonhallintatavan mukaisten toimintaedellytysten toteuttamiseksi organisaatiossa. Myös valtioneuvoston periaatepäätöksessä valtion tietoturvallisuuden kehittämisestä (26.11.2009) velvoitetaan valtionhallinnon organisaatioita kehittämään tietoturvatoimintaansa laaja-alaisesti ja huolehtimaan tietoturvallisuudesta kaikessa yhteistyössä palveluiden tuottajien ja muiden sidosryhmien kanssa.

Valtioneuvoston periaatepäätöksessä yhteiskunnan turvallisuusstrategiasta (YTS, 16.12.2010) korostetaan sitä, että turvallisuudesta huolehtiminen on valtiovallan keskeisimpiä tehtäviä ja vaaditaan, että valtiohallinnon toimintakykyä pitää pystyä kehittämään myös normaaliolojen häiriötilanteissa. Tätä voidaan edesauttaa toteuttamalla sellaisia ICT- palveluita, jotka täyttävät jatkuvuuden hallinnalle ja tiedon turvaamiselle ohjeessa ICT- varautumisen vaatimukset, VAHTI 2/2012 -ohjeessa asetetut vaatimukset.

2.1 Tietoturvallisuusasetuksen vaatimukset tietoturvallisuudelle

Tietoturvallisuusasetuksessa on määritetty kymmenen perustason vaatimusta (5 § Tietoturvallisuuden perustason toteuttaminen). Alla on lueteltu nämä vaatimukset ja kuvattu kunkin vaatimuksen osalta ne menettelyt ja välineet, joiden avulla viranomainen voi kyseisen vaatimuksen toteuttaa. Lisää ohjeistusta välineiden ja VAHTI-ohjeiden hyödyntämisestä löytyy ohjeesta ”VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta”.

Tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on huolehdittava siitä, että:
 

1) viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan;

Tietoturvallisuus tulee nähdä toiminnan laatua parantavana tekijänä, johon keskeisesti liittyy riskienhallinta. Tällä tavalla toimimalla huolehditaan siitä, että tietoturvallisuuteen tehtävät taloudelliset ja muut investoinnit kohdistuvat tarkoituksenmukaisiin kohteisiin.
 
Menetelmä tai väline: organisaation oma riskienhallintaprosessi ja -väline tai Valtion IT-palvelukeskuksen tietoturvapalveluiden tuottama prosessiohje ja Excel-työväline. Riskienarviointi tulee sisällyttää organisaation toiminnan ja tavoitteiden kannalta tärkeisiin prosesseihin. Organisaation johdon tulee hyväksyä riskienkäsittelyn tulokset myös ns. jäännösriskin osalta ja vastuuttaa riskienhallintatoimet. Organisaation tulee selvittää oma riskinkantokykynsä. Sovittujen toimenpiteiden toteutusta ja aikataulua tulee valvoa. Lisätietoa ohjeesta VAHTI 3/2003 ”Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa”.
 
2) viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistamiseksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään;
 
Tietoturvallisuuden hoitaminen on osa viranomaisen toiminnan laatua. Vastuu tieto- turvallisuudesta on organisaation johdolla, mutta sitä ei voi hoitaa ilman vastuuhenkilöitä ja resursseja.
 
Menetelmä tai väline: riittävä henkilöresursointi ja henkilöiden kattavat tehtäväkuvaukset sekä organisaation johdon hyväksymä tietoturvapolitiikka. Tietoturvavastaavan nimeäminen ja eri toimijoiden vastuiden määrittäminen. Lisää johtamisesta ja vastuista ohjeessa ”Tietoturvallisuudella tuloksia, Yleisohje tietoturvallisuuden johtamiseen ja hallintaan, VAHTI 3/2007”.
 
3) asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään;
 
Viranomaisten toiminnan kannalta asiakirjojen käsittelyä koskevat tehtävät ja vastuut ovat erittäin keskeisiä. Lainsäädäntö velvoittaa viranomaisia pitämään luetteloa käsiteltävänä olevista asioista sekä määrittelemään asiakirjojen säilytysajat ja -tavat sekä ylläpitämään niistä arkistonmuodostussuunnitelmaa.
 
Menetelmä tai väline: asiakirjahallinnon, diaarin ja tiedonohjaussuunnitelman määrittely, organisaation johdon tekemä päätös tietoaineistojen luokittelemiseksi tietoturvallisuusasetuksen (681/2010) mukaisesti, henkilöiden tehtäväkuvaukset sekä organisaation tietoaineistojen käsittelyä koskeva käsittelyohje, joka huomioi tietoturvallisuusasetuksessa ja VAHTI 2/2010 -ohjeessa olevat vaatimukset. Valtion IT-palvelukeskuksen tietoturvapalveluiden tuottamaa sähköistä koulutusta voidaan käyttää henkilöstön perehdyttämiseen ja tietoaineistojen käsittelyä koskevaa ohjemallia voidaan hyödyntää laadittaessa organisaation omaa ohjetta.
 
4) tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi;
 
Tietoaineistojen käsittelyssä tulee aina muistaa, että tietoturvallisuus koostuu luottamuksellisuudesta, eheydestä ja saatavuudesta. Jotta nämä osa-alueet voidaan turvata, edellyttää se käsiteltävien tietoaineistojen tärkeyden tunnistamista. Häiriötilanteisiin tulee varautua tärkeiden toimintojen jatkuvuussuunnittelun sekä tietojärjestelmien toipumissuunnittelun avulla.
 
Menetelmä tai väline: suojattavat kohteet ja niihin liittyvät tietojärjestelmät ja palvelut / prosessit tärkeysluokitellaan sekä toteutetaan ne suojattavan kohteen edellyttämälle tietoturva- ja ICT-varautumisen tasolle käyttäen hyväksi ohjeita ”Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010” sekä ”ICT- varautumisen vaatimukset, VAHTI 2/2012”. Normaaliolojen häiriötilanteiden varalle laaditaan tarvittavat ohjeet (jatkuvuus- ja toipumissuunnitelmat koko organisaatiolle ja tärkeysjärjestyksen mukaisille tärkeimmille toiminnoille). Vakavien häiriötilanteiden varalle laaditaan kriisinhallinta- ja kriisiviestintäsuunnitelma. Laaditaan valmiussuunnitelmat ja huoltovarmuuskriittiset organisaatiot laativat lisäksi tarvittavat toimintamallit Yhteiskunnan elintärkeiden toimintojen turvaamiseksi poikkeusoloissa. Valtion IT-palvelukeskuksen tietoturvapalveluiden tuottamia jatkuvuus-, valmius- ja toipumissuunnitelmien asia- kirjamalleja voidaan käyttää pohjana, mikäli organisaatiolla on tarvetta laatia tai päivittää omia suunnitelmiaan.
 
5) asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan antamalla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi;
 
Mitä kriittisemmistä salassa pidettävistä tietoaineistoista on kyse, sitä tärkeämpiä ovat tietoaineistojen luottamuksellisuuden turvaamiseen liittyvät hallinnolliset prosessit ja fyysiset sekä tietotekniset suojausratkaisut. Luokiteltuja tietoaineistoja tulee käsitellä ohjeessa ”VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta” kuvattujen käsittelyvaatimusten mukaisesti.
 
Mikäli tietoaineisto turvallisuusluokitellaan tietoturvallisuusasetuksen 11 § mukaisesti, käsittelyssä noudatetaan minimissään vastaavalle suojaustasolle asetettuja vaatimuksia. Käsittelyssä on aina kuitenkin huomioitava myös ne kansainväliset velvoitteet, joihin käsittely perustuu (esim. EU- ja Nato-aineistot sekä kahdenväliset sopimukset).
 
Mikäli tietoaineistot luokitellaan lain kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) mukaisesti, tulee niiden käsittelyssä noudattaa Suomen ja sopimuskumppanin välisen sopimuksen linjauksia. Kansallinen turvallisuusauditointikriteeristö (KATAKRI) on laadittu siten, että sitä noudatettaessa kaikki yleisimmät kansainväliset velvoitteet täyttyvät.
 
Sekä kansallisen että kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyssä on huomioitava, että suojausvaatimukset koskevat kaikkia tiedonkäsittely-ympäristöjä, joissa turvallisuusluokiteltua tietoa käsitellään. Vaatimukset tuleekin huomioida sekä kaikkien organisaation omien ko. tietoa käsittelevien järjestelmien että ulkoistettujen palvelujen osalta.
 
Menetelmä tai väline: organisaation tietoaineistojen käsittely ohjeistetaan sen antamassa tietoaineistojen käsittelyohjeessa. Tietojärjestelmiä käyttävien roolien käyttöoikeudet tulee suunnitella joko kohteittain tai käyttäen keskitettyä käyttövaltuushallintaa (Identity and Access Management, IAM). Eri rooleissa toimivat henkilöt pitää pystyä listaamaan rooleittain ja tietojärjestelmittäin. Esimiehen tulee kehittämiskeskustelussa käydä läpi keskeiset työtehtävät ja niissä tarvittavat käyttäjäroolit sekä käsiteltävien tietoaineistojen luokittelu.
 
Organisaation tulee ottaa hankinnoissaan huomioon tietoaineistojen käsittelyltä edellytettävät vaatimukset sekä huomioida ne sopimuksissa. Lisätietoa löytyy ohjeesta ”Valtion ICT-hankintojen tietoturvaohje, VAHTI 3/2011” ja sen liitteistä. sekä ohjeesta ”Tunnistaminen julkishallinnon verkkopalveluissa, VAHTI 12/2006”.
 
6) tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoikeushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalvelujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä;
 
Turvallisuusjärjestelyt kohdistetaan kaikkiin organisaation omistamiin ja hallinnoimiin tietojenkäsittely-ympäristöihin ja tietojärjestelmiin, ja ne ovat sitä vahvempia mitä kriittisempää tietoa niissä käsitellään. Tässä ohjeessa kuvataan niitä teknisiä ratkaisuja, joiden avulla organisaatio voi toteuttaa siltä edellytetyt riittävät turvallisuusjärjestelyt ja muut toimenpiteet.
 
Menetelmä tai väline: kuten kohdassa viisi. Sen lisäksi tietojärjestelmien pitää tuottaa sellaista lokitietoa, josta niiden käyttöä voidaan tarvittaessa selvittää ja valvoa. Yksittäisten järjestelmien loki voi olla järjestelmäkohtainen, mutta laajemmissa kokonaisuuksissa pitäisi saada käyttöön keskitetty lokien ja tapahtumien hallintapalvelu (Security Information and Event Management, SIEM). Muita suositeltavia toimenpiteitä ovat organisaation itse suorittamat tai kolmansilta osapuolilta hankittavat katselmoinnit ja auditoinnit. Lisätietoa ohjeesta ”Käyttövaltuushallinnon periaatteet ja hyvät käytännöt, VAHTI 9/2006”.
 
7) asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja;
 
Tietoturvallisuus on laaja-alainen kokonaisuus, jossa ei pidä unohtaa käsittely-ympäristöön ja muuhun fyysiseen tietoturvallisuuteen liittyviä seikkoja. Etätyön ja -käytön yleistyessä vaatimukset tietoaineistojen käsittelyyn ajasta ja paikasta riippumatta kasvavat, joka asettaa myös käytettäville tietojärjestelmille ja teknisille ratkaisuille uudenlaisia vaatimuksia.
 
Menetelmä tai väline: organisaatio täyttää sen toiminnalle asetetun turvaluokituksen mukaiset tilaturvallisuuden vaatimukset ja VAHTI 2/2010 -ohjeen vaatimukset. VAHTI on laatimassa uutta toimitilaturvallisuutta koskevaa ohjetta, joka julkaistaan vuonna 2013. Tämän ohjeen liitteessä 1 on yksityiskohtaisempia vaatimuksia fyysisen turvallisuuden toteuttamiseksi. Nämä tulee ottaa huomioon myös palveluita ostettaessa; myös palvelua tuottavan toimittajan ja toimittajan mahdollisten alihankkijoiden tulee täyttää asetetut vaatimukset. Organisaatio luo etätyötä koskevan ohjeistuksen, jolla varmistetaan etätyöpaikassa säilytettävän tietoaineiston tietoturvallisuus. Ohjeen laatimisessa voidaan hyödyntää ohjetta ”Valtionhallinnon etätyön tietoturvallisuusohje, VAHTI 3/2002” sekä tämän ohjeen liitteessä 7 kuvattuja etätyön teknisiä vaatimuksia.
 
8) henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotettavuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla;
 
Tämä vaatimus koskee organisaation omaa henkilöstöä, mutta vähintään yhtä tärkeää on huolehtia palveluita organisaation toimeksiannosta tuottavan toimittajan henkilöstön luotettavuudesta.
 
Menetelmä tai väline: organisaatiossa on kuvattu periaatteet sekä prosessi, jonka mukaan päätetään mistä rooleista, millä perusteella ja milloin tehdään suppea, perusmuotoinen tai laaja turvallisuusselvitys Turvallisuusselvityslain mukaisesti. Prosessin tulee kattaa organisaation oma henkilöstö, palveluita organisaatiolle tuottavat toimittajat sekä muut sidosryhmät.
 
9)  henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsittelystä;
 
Jokainen uusi tietoturvallisuuteen liittyvä prosessi, työväline tai muu toimintamalli edellyttää tiedottamista, koulutusta ja seurantaa sekä mahdollisesti uudenlaista dokumentointia ja raportointia. Tietoturva-asetuksen täytäntöönpanoon liittyy keskeisesti tietoturvatasovaatimusten saavuttaminen, joka aiheuttaa useissa organisaatioissa merkittävän uusien toimintatapojen jalkauttamistarpeen.
 
Menetelmä tai väline: Organisaation tulee toteuttaa säännöllistä tietoturvakoulutusta. Koulutusten toteuttamisessa voi hyödyntää ohjeita ”Tietoturvakouluttajan opas, VAHTI 11/2006” sekä ”Henkilöstön tietoturvaohje, VAHTI 10/2006”. Valtion IT-palvelukeskuksen tietoturvapalvelut tarjoavat VAHTI-ohjeiden pohjalta laadittuja maksuttomia sähköisiä koulutuskokonaisuuksia henkilöstölle, johdolle ja esimiehille sekä tietoaineistojen käsittelijöille. Koulutukseen liittyy olennaisena osana omaksumista mittaava kysely.
 
10) annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti;
 
On tilanteita, joissa jokin uusi toimintamalli laaditaan sen takia, koska sitä edellytetään ilman, että organisaatiolla on aidosti halua tai motivaatiota ottaa sitä käyttöön. Tietoturvatasojen toteuttamisessa ei saa tapahtua näin. Kun organisaatio tai palvelu saavuttaa perus-, korotetun- tai korkean tietoturvatason, se ei voi säilyttää saavutettua tasoa ellei käyttöönotettuja prosesseja ja toimintamalleja liitetä organisaation / palvelun toimintaan siten, että tietoturvallisuus koetaan osana toimintaprosessia eikä erillisenä vaatimuksena. Tietoturvallisuuden tulee integroitua osaksi organisaation toimintakulttuuria ja se tulee nähdä toiminnan laatua ja suorituskykyä parantavana tekijänä.
 
Menetelmä tai väline: organisaation johdolla ja esimiehillä on tärkeä rooli toimia esikuvana ohjeiden noudattamisessa. Organisaatiossa tulee olla prosessi havaittujen poikkeamien raportoimiseen sekä niihin puuttumiseen. On suositeltavaa laatia organisaatio-/ palvelukohtainen tietoturvallisuuden vuosikello, jonka mukaan huolehditaan prosessien, ohjeiden, sopimusten ja muiden asiakirjojen säännöllisestä katselmoinnista ja päivittämisestä sekä tarvittavista auditoinneista. Lisätietoa ohjeesta ”Tietoturvallisuus on asenne VAHTI 6/2008”.

 

2.1.1    Tietoturvallisuusasetuksen vaatimusten toteuttaminen organisaatiossa

Tietoturvatasojen vaatimukset kohdistuvat organisaation toimintamalleihin, prosesseihin ja menettelyihin sekä tietojärjestelmien hallintaprosesseihin. Vaatimusten toteuttamista ei kannata tehdä vaatimus kerrallaan vaan ottaa niiden toteuttamisessa kokonaisvaltainen lähestymistapa. Suositeltavaa on toteuttaa tietoturvallisuuden hallintajärjestelmä, jonka avulla tietoturvallisuus saadaan integroitua organisaation muuhun toimintaan. Hallintajärjestelmän ja siihen liittyvän vuosikellon avulla myös säännöllisesti toistuvat tehtävät saadaan ajoitettua.
 
Tietoturvatasovaatimusten mukaan toteutettu hallintajärjestelmä on yhteensopiva ISO/IEC27001 -standardin mukaisen hallintajärjestelmän kanssa ja mahdollistaa organisaation tietoturvallisuuden sertifioinnin, jos se on tarkoituksenmukaista ja organisaation tavoitteena.
 
Valtionhallinnossa edellä kuvattuja vaatimuksia on toteutettu valtiovarainministeriön käynnistämissä Tietoturvallisuusasetuksen täytäntöönpanon yhteishankkeissa. Hankkeisiin osallistuu lähes 60 valtionhallinnon organisaatiota, jotka saavat hankkeen työpajoissa konkreettisia ohjeita, malleja ja kokemuksia hallintajärjestelmän ja toimintamallien toteuttamiseen. Hankkeiden toteuttamisessa käytetään apuna Valtion IT-palvelukeskuksessa laadittua Projektiopasta, joka on saatavilla VIPin työkalupakista.
 
Hankkeissa on todettu, että tietoturvallisuuden hallintajärjestelmän ja tietoturvatasovaatimusten toteuttaminen onnistuu ainoastaan jos niiden toteuttamiseen on johdon tuki, joka näkyy johdon puheissa, toiminnassa ja tietoturvatyöhön kohdistetuissa resursseissa. Tietoturvatyö vaatii koko henkilöstön sitoutumista, joten se ei onnistu jos tietoturvavastaava ei saa muun organisaation tukea ja työpanosta vaadittujen toimintamallien toteuttamiseen.
 

2.2 Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä

Valtioneuvoston periaatepäätöksessä 26.11.2009 todetaan, että päätös koskee kaikkia hallinnon palveluita, toimintoja, prosesseja, tietojärjestelmiä ja -verkkoja kattaen tiedon koko elinkaaren. Periaatepäätös koskee valtion budjettitalouden piirissä olevia organisaatioita ja liikelaitoksia sekä näiden ulkopuolisilta tahoilta hankkimia tai perustamiinsa osakeyhtiöihin ulkoistamia toimintoja, prosesseja tai palveluja.

Periaatepäätöstä noudatetaan myös valtionhallinnon ja muiden organisaatioiden (kuten kunnat, yritykset ja yhteisöt) välisessä toiminnallisessa, tiedon hallinnan ja varautumisen sekä kansainvälisessä yhteistyössä. Edellinen tarkoittaa sitä, että tietoturvallisuus tulee ottaa huomioon sekä valtion- hallinnon organisaation omassa toiminnassa että ostettaessa palveluita. Samoin se tulee ottaa huomioon valtionhallinnon ja muiden organisaatioiden yhteistyössä tietoaineistoa välitettäessä organisaatioiden välillä.

Periaatepäätöksen luvussa 3 Kehittämisperiaatteet, -kohteet ja painopisteet todetaan:
 
Tiedon ja sen arvon suojaaminen:
Organisaatiot parantavat tietoaineistojen, - järjestelmien ja -verkkojen turvallisuutta sekä kehittävät valtion ympärivuorokautista tietoturvatoimintakykyä. Organisaatiot toimivat valtion yhteisten varautumislinjausten, tietoaineistojen suojaustasojen ja tietoturvatasojen vaatimusten mukaisesti sekä ottavat käyttöön näitä tukevat tietotekniset ratkaisut.

2.3 Tietoaineistojen käsittely ja luokittelu

Tietoturvallisuuden tärkein tavoite on tukea organisaation toimintaa ja tavoitteiden saavuttamista huolehtimalla tietoaineistojen luottamuksellisuudesta, eheydestä ja saatavuudesta. Tämä on mahdollista ainoastaan ottamalla tietoturvallisuus huomioon tiedon elinkaaren kaikissa vaiheissa.
 
Tietoaineistot tulee luokitella niiden tietosisällön mukaan. Tietoturvallisuusasetus ja VAHTI 2/2010 määrittelevät yksityiskohtaisella tasolla tietoaineistojen käsittelylle asetetut velvoitteet. Salassa pidettävän, harkinnanvaraisesti julkisen sekä käyttörajoitteisen tietoaineiston käsittelyä ohjataan suojaustasojen avulla tietoturvallisuusasetuksen 9 §:ssä osoitetulla tavalla.
 
Suojaustasot ovat:
  • suojaustaso I (ST I), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle
  • suojaustaso II (ST II), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle
  • suojaustaso III (ST III), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle
  • suojaustaso IV (ST IV), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleiselle tai yksityiselle edulle tai, jos kysymys on tietoturvallisuusasetuksen 9 §:n 2 momentissa tarkoitetuista asia- kirjoista, jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä.
 
Osaan salassa pidettävistä asiakirjoista voidaan tehdä turvallisuusluokittelua koskeva merkintä tietoturvallisuusasetuksen 11 §:ssä säädetyin edellytyksin. Turvallisuusluokitus-merkintää on sallittua käyttää vain niissä tietoaineistoissa, joissa olevien tietojen oikeudeton paljastuminen tai käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muille yleisille eduille siten kuin tietoturvallisuusasetuksessa säädetään.
 
Tietoaineistojen luokittelua on käsitelty yksityiskohtaisesti VAHTI 2/2010 -ohjeen luvussa 7 Tietoaineistojen luokittelu.
 

Kuva 6. Tässä ohjeessa keskitytään kuvamaan niitä teknisiä ratkaisuja, joita tarvitaan luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi sekä julkisten että salassa pidettävien tietoaineistojen käsittelyssä. Julkisen tietoaineiston käsittelyn osalta valtionhallinnossa on useita merkittäviä järjestelmiä, joissa järjestelmiltä edellytetään korkeaa palvelutasoa ja ICT-varautumiskykyä.


Kuva 7. Muu kuin julkinen tietoaineisto voidaan merkitä suojaustaso- tai turvallisuusluokitus- merkinnällä riippuen siitä, millaista tietoa se sisältää ja millaista vahinkoa tietojen oikeudeton paljastuminen tai käyttö voivat aiheuttaa. Mikäli  käsitellään  kansainvälistä  turvallisuusluokiteltua tietoa, niin siihen kohdistuu tällöin kansallisia, suojaustasomerkinnöillä varustettuja tietoaineistoja tiukempia käsittelyvaatimuksia erityisesti tiedon luottamuksellisuuden suojaamiseksi.

Yleisimmät kansalliselle ja kansainväliselle turvallisuusluokitellulle aineistolle asetettavat auditointikriteerit on kuvattu Kansallisessa turvallisuusauditointikriteeristössä (KATAKRI). Tässä ohjeessa kansainvälisellä turvallisuusluokitellulla tietoaineistolla tarkoitetaan kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettua erityissuojattavaa tietoaineistoa, johon tietoaineiston Suomeen toimittanut sopimuspuoli on tehnyt turvallisuusluokitusta koskevan merkinnän tai johon Suomen viranomaisen on kansainvälisen tietoturvallisuusvelvoitteen mukaan tehtävä turvallisuusluokitusmerkintä.

Kuva 8. Suojaustaso- tai turvallisuusluokitusmerkinnän omaavan tietoaineiston käsittely edellyttää suojattavalta kohteelta aina vähintään siltä vaaditun tietoturvatason täyttämistä. Tässä yhteydessä   tulee   huomata,   että   myös   edellytettyä   korkeampi   tietoturvataso   voidaan   toteuttaa   jos   sille on muita perusteita (esimerkiksi muut vaatimukset tai Yhteiskunnan turvallisuusstrategia). Tietoturvatasojen vaatimuksissa ei ole kuvattu erityistasoa, joka edellyttää korkean tason sekä suojattavan kohteen erityispiirteistä koostuvia lisäkontrolleja.

2.4 Tietoturvatasot

VAHTI 2/2010 -ohje sisältää tietoturvatasojen yksityiskohtaiset vaatimukset liitteessä viisi. Ne asettavat organisaatioiden ja niiden tietojenkäsittely-ympäristöjen hallinnalle tietoturvavaatimukset, jotka kuvaavat niitä tietoturvatoimintaan ja -prosesseihin liittyviä menettelyitä, jotka jokaisessa valtionhallinnon organisaatiossa tulee toteuttaa. Vaatimusten toteuttamisvelvoitetta ei ole aiemmin sisällytetty lainsäädäntöön, mutta niiden täyttämistä on voitu edellyttää muulla tavoin. Osa vaatimuksista sisältyy jo julkisuuslaissa (621/1999) asetettuihin velvoitteisiin hyvän tiedonhallintatavan toteuttamisesta.

Tietoturvallisuusasetuksen kohdissa 16 § Sähköisen asiakirjan laatiminen, tallettaminen ja muokkaaminen ja 19 § Asiakirjan siirtäminen tietoverkossa todetaan, että ”tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tietoturvallisuustason vaatimukset” sekä ”tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuustason vaatimukset”. Näillä viittauksilla tarkoitetaan VAHTI 2/2010 -ohjeen liitteessä 5 kuvattuja korotetun ja korkean tietoturvatason vaatimuksia.
 
Organisaation tietoturvallisuuden hallinta ja tietojenkäsittely-ympäristöt luokitellaan kolmeen tietoturvatasoon; perustaso, korotettu taso ja korkea taso. Alin valtionhallinnon viranomaisille sallittu taso on tietoturvallisuuden perustaso. Tämän toteuttavassa ympäristössä voidaan käsitellä suojaustason IV edellyttävää tietoaineistoa selväkielisessä muodossa toimivaltaa käyttävän viranomaisen päätöksellä. Korotetun tietoturvallisuustason ympäristössä voidaan vastaavasti käsitellä tietoa selväkielisessä muodossa aina suojaus- tasoon III asti ja korkean tietoturvallisuustason täyttävissä ympäristöissä suojaustasoon II ja I asti. Suojaustasoa I sisältävien tietojen selväkielinen käsittely voidaan toteuttaa vain ST I -tason täyttävässä erillisverkko-ympäristöissä, joissa ei ole suoria liitäntöjä alemman tietoturvatason ympäristöihin.
 
Työasema, joka itsessään täyttää korkeamman tietoturvallisuustason vaatimukset, on mahdollista erilliseen viranomaishyväksyntään perustuen liittää alemman tietoturvallisuustason ympäristöön. Liittämisen mahdollistavia hyväksyttäviä yhdyskäytäväratkaisuja on käsitelty yksityiskohtaisemmin Kansallisessa turvallisuusauditointikriteeristössä (KATAKRI, ks. erityisesti I 401.0).
 
Jokaisen valtionhallinnon organisaation tulee täyttää vähintään tietoturvallisuuden perustaso, joka kattaa kokonaisuudessaan viranomaisen salassa pidettävien asiakirjojen käsittelyn.
 
Tietoturvallisuuden perustaso tulee olla toteutettuna koko valtionhallinnossa 30.9.2013 mennessä (Tietoturvallisuusasetus 23 § 3 mom.). Toiminnoissa, joissa edellytetään korotetun tai korkean tietoturvallisuustason toimintaympäristöä (toimintaa, tieto- järjestelmiä ja tietoverkkoja) ja joissa käsiteltävät asiakirjat viranomainen on luokitellut, tulee toteuttaa vaatimukset viiden vuoden kuluessa siitä, kun viranomainen on päättänyt luokitella asiakirjansa. Jos luokituspäätös on tehty esimerkiksi 1.12.2011, korotettu taso tulee saavuttaa 1.12.2016 mennessä. Esimerkkinä luokituspäätöksestä toimii organisaation johtoryhmän pöytäkirjan merkintä, jossa on todettu tietoaineistojen luokittelu otettavaksi organisaatiossa käyttöön. Kun luokittelupäätös tehdään, täytyy sen pohjautua tietoturvallisuusasetukseen. Tämän lisäksi organisaatio itse tai ulkoiset tahot voivat esimerkiksi sopimuksissa edellyttää muiden tietoturvallisuuteen liittyvien vaatimusten täyttymistä tai korotetun / korkean tason saavuttamista aiemmin kuin asetus sitä edellyttää.
 
Tietoturvatasot koskevat sekä viranomaisen omia menettelyitä että niitä tahoja, jotka suorittavat tehtäviä viranomaisen toimeksiannosta. Valtionhallinnon viranomaisten toiminnassa tulee lähtökohtana olla, että käsiteltäessä yhteiskunnan elintärkeiden toimintojen kannalta kriittisiä viranomaisen asiakirjoja, käsittelyssä noudatetaan vähintään korotetun tietoturvallisuustason vaatimuksia.

 

2.5 Kansallinen tietoturvallisuusauditointikriteeristö (KATAKRI)

Kansallinen turvallisuusauditointikriteeristö (KATAKRI) valmistui vuonna 2009 viranomaisten, elinkeinoelämän ja turvallisuusalan järjestöjen yhteistyönä. Päivitetty versio 2.0 valmistui kevään 2011 aikana.

KATAKRI on tarkoitettu työvälineeksi niille viranomaisille tai viranomaisten lukuun toimiville turvallisuustarkastajille (auditoijille), joille on annettu valtuus todentaa arvioitavan kohteen turvallisuuden taso erityisesti KATAKRI:n auditointikriteereihin peilaten. KATAKRI ja erityisesti sen suositusosio on tarkoitettu myös perustyökaluksi yritysten omaehtoiselle turvallisuustyölle. On kuitenkin huomattava, että KATAKRIssa kuvatut elinkeinoelämän suositukset eivät ole viranomaisvaatimuksia.
 
Toimivaltaiset viranomaiset toteuttavat yritysten tai muiden kohteiden turvallisuustason tarkastamisen joko valtionhallinnon salassa pidettävää tietoa sisältäviin hankkeisiin liittyen, tai kansainvälisen pyynnön seurauksena. Jälkimmäisessä tapauksessa tilanne on usein se, että suomalainen yritys pääsee osallistumaan kansainväliseen tarjouskilpailuun, mikäli se täyttää hankkeen turvallisuusvaatimukset. Vaatimukset täyttävälle yritykselle toimivaltainen viranomainen voi myöntää tästä erillisen todistuksen (kansainvälisessä yhteydessä Facility Security Clearance, FSC). Olipa kyseessä kotimainen tai ulkomainen vaatimusasettelu, suomalaiset viranomaiset käyttävät turvallisuustason todentamiseen samoja vaatimuksia, jotka on esitetty KATAKRI:ssa kolmelle tasolle; perustaso, korotettu taso ja korkea taso. KATAKRIn vaatimustason toteuttaminen mahdollistaa vastaavasti luokitellut tietoaineiston käsittelyn, perustasolla (Restricted), korotetulla tasolla (Confidential) ja korkealla tasolla (Secret).
 
Tässä VAHTI-ohjeessa ja sitä täydentävissä Excel-työvälineissä on otettu huomioon myös turvallisuusluokiteltujen tietoaineistojen käsittelyä ja tietoturvallisuutta koskevia KATAKRI-auditointikriteereitä. Viranomaisen tulee huolehtia, että KATAKRI-auditointikriteerit huomioidaan niissä tilanteissa, joissa niitä voidaan käyttää toimittajaa tai sen omaa toimintaa velvoittavina. Velvoittavuus tulee esimerkiksi tilanteissa
  • kun tietoaineisto luokitellaan turvallisuusluokitusmerkinnällä.
  • kun toimittaja tuottaa palvelua, jonka piirissä käsitellään kansainvälisiä turvallisuusluokiteltuja (kahdenvälisten sopimusten piiriin kuuluvia, tai esim. EU:n tai Naton) asiakirjoja.

 

Suvi Pietikäinen30.11.2012 / 17:42:57
Tulosta