Tietoturvallisuudella tuloksia

Yleisohje tietoturvallisuuden johtamiseen ja hallintaan

 

Tietoturvallisuudella tuloksia

Taitto: Taina Ståhl
ISSN 1455-2566
ISBN 978-951-804-767-7 (nid)
ISBN 978-951-804-768-4 (pdf)
Painopaikka Edita Prima Oy
Helsinki 2007

Keskustelualueet

Esipuhe

Valtiovarainministeriö (VM) vastaa valtion tietoturvallisuuden ohjauksesta ja kehittämisestä. Ministeriö on asettanut Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) hallinnon tietoturvallisuuden yhteistyön, ohjauksen ja kehittämisen elimeksi. VAHTI tukee toiminnallaan valtioneuvostoa ja valtio­varainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.
VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtion­hallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.
VAHTIssa käsitellään kaikki merkittävät valtionhallinnon tietoturvalinjauk­set ja tietoturvatoimenpiteiden ohjausasiat. VAHTI käsittelee valtionhallinnon tietoturvallisuutta koskevat säädökset, ohjeet, suositukset ja tavoitteet sekä muut tietoturvallisuuden linjaukset sekä ohjaa valtionhallinnon tietoturvatoimenpi­teitä. VAHTIn käsittelyn kohteina ovat kaikki tietoturvallisuuden osa-alueet.
VAHTIn toiminnalla on parannettu valtion tietoturvallisuutta ja työn vai­kuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on aikaansaatu erittäin kattava yleinen tietoturvaohjeisto (http:// www.vm.fi/VAHTI). Valtiovarainministeriön ja VAHTIn johdolla on menes­tyksellisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishank­keita. VAHTI on valmistellut, ohjannut ja toteuttanut valtion tietoturvallisuu­den kehitysohjelman, jossa on aikaansaatu merkittävää kehitystyötä yhteensä 26 kehityskohteessa yli 300 hankkeisiin nimetyn henkilön toimesta.
VAHTI edistää verkostomaisen toimintatavan kehittämistä julkishallin­non tietoturvatyössä.
Valtionhallinnon lisäksi VAHTIn toiminnan tuloksia hyödynnetään laa­jasti myös kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. VAHTI on saanut kolmena perättäisenä vuo­tena tunnustuspalkinnon esimerkillisestä toiminnasta Suomen tietoturvalli­suuden parantamisessa.
Tämän ohjeen on laatinut VAHTIn alainen tietoturvallisuuden yleisohjeen VAHTI 1/2001 päivittämisen työryhmä. Ohje on viimeistelty laajan lausunto­kierroksen palautteen pohjalta ja hyväksytty julkaistavaksi VAHTIn kokouk­sessa lokakuussa 2007.

Yhteenveto

Säädökset velvoittavat julkishallinnon organisaatioita ja niissä työskenteleviä huolehtimaan toimintansa tietoturvallisuudesta.
Tietoturvallisuuden toteutuminen edellyttää päätöksentekijöiden sitoutu­mista sekä riittäviä perustietoja asiasta. Johdon ja esimiesten tulee olla selvillä organisaatioonsa kohdistuvista yleisistä riskienhallinta- ja tietoturvatasovaa­timuksista ja tietoturvallisuuden merkityksestä toiminnalle. Heidän on myös huolehdittava, että organisaation riskienhallinta ja tietoturvallisuus ovat sää­dösten edellyttämällä tasolla. Vaadittavaa tasoa ylläpitävän tietoturvakulttuu­rin luominen ei tapahdu hetkessä. Se edellyttää jatkuvaa määrätietietoista toi­mintaa sekä koulutus- ja kehittämistyötä. Organisaation johto ja henkilöstö vastaavat viime kädessä toteutuvan tietoturvallisuuden tasosta.
Tietoturvallisuus on hyvän hallinto- ja tiedonhallintatavan perusta. Se kuu­luu osana kaikkeen toimintaan ja on otettava huomioon kaikissa päätöksenteon vaiheissa sekä päätösten vaikutusten arvioinnissa.
Tietoturvallisuus on organisaation toiminnan laatutekijä. Se ei toteudu itsestään. Jokainen johtaja ja esimies vastaavat siitä, että tietoturvavaatimuk­set toteutuvat hänen omassa ja vastuullaan olevan henkilöstön toiminnassa. Sitoutumisen taso ilmenee mm. organisaation tietohallinnon, arkistotoimen, asiakirjahallinnon, tietopalvelun ja viestinnän asianmukaisena resursointina sekä toiminnan selkeänä organisointina ja vastuutuksina.
Johdon ja esimiesten tehtävänä on myös varmistaa, että tietoturvallisuutta toteutetaan organisaation perustehtävän toteutumista edistävällä, tarkoituk­senmukaisella ja kustannustehokkaalla tavalla. Tietoturvallisuudesta aiheutu­via kustannuksia voidaan hallita ja alentaa sitä paremmin, mitä aikaisemmassa vaiheessa hanketta tai toimintaa sen tietoturvatarpeet on otettu huomioon.
Ohje toimii johdantona kattavaan, Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) tuottamaan, hallinnon käyttöön tarkoitettuun tietotur­vallisuutta koskevaan ohje- ja suositusmateriaalin. Tässä ohjeessa käsitellään tietoturvallisuutta erityisesti sen johtamisen kannalta.
Tämä ohje korvaa aiemman VAHTI-julkaisun 1/2001 Valtion Viranomaisen Tietoturvallisuustyön Yleisohje. Tavallisen päivityksen sijasta ohje uudistettiin perusteellisesti, koska VAHTI-ohjeisto on edellisen ohjeen jälkeen laajentunut merkittävästi ja yleisohjeen lähtökohdaksi haluttiin ottaa uudistuneet standardit ja parhaat käytännöt, sekä valtionhallinnon tietoturvan 8+ -aihealuejako. Uuden ohjeen tarkoitus on ohjata tietoturvallisuuden johtamista, sekä antaa yleiskuva ja toimia lähdeteoksena muihin VAHTI-ohjeisiin.

Johdon tiivistelmä

Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) on tuottanut hal­linnon käyttöön tietoturvallisuuden koko kentän kattavan ohje- ja suositus­materiaalin. Tämä ohje toimii käsikirjana ja linkkinä koko laajaan ohjeistuk­seen esitellen tiivistettynä sen ydinkohdat. Ohje painottaa johtamisen näkö­kulmaa, johdon ja esimiesten vastuuta sekä tietoturvallisuuden suunnitteluun liittyviä toimintoja. Sen on tarkoitus antaa valtionhallinnon organisaatioiden johdolle sekä erityisesti niiden tietohallinto- sekä turvallisuus- ja tietoturva­johdolle ja kyseisissä tehtävissä muuten toimiville suuntaviivoja tietoturvalli­suuden hallintaan osana omaa toimintaansa.
Ohje on kirjoitettu ensisijaisesti valtionhallinnon tarpeet huomioiden, mutta se on pääosin sovellettavissa myös muihin organisaatioihin. Tietoturvallisuus on kuvattu kokonaisuutena, joka sisältää toiminnan prosessit ja ihmiset sekä tieto­aineistojen ja tietojärjestelmien turvallisuuden ja varmistamisen. Pääkohteina ovat ihmiset, prosessit, tietoaineisto, tietoteknologia ja tietojen käytettävyys. Politiikka, ohjeet, koulutus ja siten syntynyt yhteinen ymmärrys ja toiminta­tapa ovat organisaation hyvän tietoturvakulttuurin perustekijöitä.
Organisaation sisäinen tietojenkäsittely, tuotanto ja asiakkaiden palvelemi­nen riippuvat kaiken tuotannon taustalla olevien tietojen ja tietojenkäsittelyn luottamuksellisuudesta, eheydestä ja käytettävyydestä – tietoturvallisuudesta. Tietoturvallisuuden järkkyminen voi viedä perustan organisaation toiminnan luotettavuudelta ja keskeyttää tai estää sekä sisäisten että ulkoisten asiakkaiden käyttämien palvelujen toiminnan. Ilman tietoturvatoimenpiteitä ja etukäteen luotuja vararatkaisuja ei esimerkiksi yhteiskunnan tarjoamia sähköisiä palve­luita ja toimintaa voida taata normaalitilanteessa eikä varsinkaan vakavissa häiriötilanteissa tai poikkeusoloissa.
Johdon tehtävänä on osana omaa johtamistoimintaansa varmistaa myös organisaation toiminnan tietoturvallisuus. Johtamisprosessin osana tulee var­mistaa, että tietoturvallisuuden ja riskienhallinnan taso vastaa sille asetettuja tavoitteita ja että tietoturvatoiminnoille on varattu riittävät ylläpito- ja kehit­tämisresurssit. Myös henkilöstön hyvinvointiin tulee kiinnittää huomiota, sillä korkean turvallisuuden tason voi saavuttaa vain organisaatio, jonka kaikki työntekijät ovat hyvin motivoituneita työhönsä.
Johto käsittelee ja vahvistaa organisaation tietoturva- ja -riskienhallinta­politiikan periaatteet. Lisäksi tulee varmistaa, että johdolle organisaation eri
tasoilla raportoidaan säännöllisesti sovitulla tavalla organisaation tietoturva­tilanteesta ja -tapahtumista ja niiden mahdollisesti aiheuttamista korjaavista toimenpiteistä.
Ohje antaa kokonaiskuvan siitä, millainen tietoturva- ja riskienhallintapo­litiikan määrittelyn perusteella luotavan, hyvää tiedonhallintatapaa tukevan tietoturvallisuuden hallintajärjestelmän tulisi olla ja miten sen tulisi toimia. Tämän järjestelmän avulla organisaatio voi varmistaa, että niin sen itselleen asettamat kuin myös Valtioneuvoston valtionhallinnon tietoturvallisuudesta antaman periaatepäätöksen ja muiden linjausten, yleisten tietoturvaperiaat­teiden ja säädösten sekä valtiovarainministeriön antamien ohjeiden mukaiset tavoitteet saavutetaan. VAHTI-toiminnan ja -ohjeistuksen tärkein tavoite on valtionhallinnon tietoturvallisuuden kehittäminen.
Ohjeistus tukee organisaatiota tietoturvallisuuden suunnittelussa, toimeen­panossa ja ylläpidossa sekä tarvittavien asiakirjojen laatimisessa.

Ohjeen rakenne

Ohjeen johdannossa kuvataan tietoturvallisuuden yleisiä periaatteita ja perus­teita valtionhallinnon näkökulmasta. Toisessa luvussa käsitellään tietotur­vallisuuden perustaa sekä tietoturvatoiminnan organisoinnin, seurannan ja raportoinnin periaatteet mukaan lukien riskienhallinta. Kolmannessa luvussa tarkastellaan tietoturvallisuuden organisointia, sen liittämistä prosesseihin ja toimeenpanoa sekä käytännön arviointia. Neljännestä luvusta alkaen käsitel­lään perinteisen kahdeksan osa-aluejaon kautta keskeisiä osa-alueiden ala­kohtia. Yhdennessätoista luvussa tarkastellaan jatkuvuuden ja poikkeusolo­jen suunnittelun perusteita ja kahdennessatoista luvussa tietoturvallisuudessa käytettäviä luokitteluja.
Ohjeen liitteinä on joukko keskeisiä, organisaation tietoturvallisuuden hal­lintajärjestelmän rakentamiseen liittyviä asiakirjamalleja. Liitteessä yksi on esi­tettynä mallipolitiikka- ja suunnitelmarungot. Liitteessä kaksi on lista tietotur­vavastuista rooleittain. Liitteessä kolme on luettelo viimeisimmistä valtiovarain­ministeriön tietoturvallisuuteen liittyvistä ohjeista. Liitteeseen neljä on koottu luettelo tietoturvaan liittyvistä säädöksistä ja niiden keskeisistä pykälistä. Liite viisi esittelee standardeja, jotka vaikuttavat tietoturvatyöhön.
Ajan tasalla pidetty versio tästä ohjeesta sekä muuta lisätietoa löytyy VAHTI­www-sivustolta.
Tässä ohjeessa on tarkalla tasolla otettu huomioon voimassa olevat säädök­set ja ohjeet. Tietoturva-alueen nopean kehityksen vuoksi on jatkuvasti käyn­nissä VAHTI-hankkeita, jotka tuottavat uusia linjauksia.
Parhaillaan on käynnissä julkisuuslain hyvää tiedonhallintatapaa koskevan asetuksen uudistaminen, jolla tulee olemaan vaikutuksia useisiin tietoturval­lisuuden osa-alueisiin.

Tulosta