4. Vaatimukset tekniselle tietotekniikkaympäristölle

VAHTI 2/2010 -ohje sisältää tietoturvatasojen perus-, korotetun ja korkean tason vaatimukset. Tässä luvussa on listattu hyviä käytäntöjä ja ohjeita huomioitavaksi kaikissa organisaatioissa tarvittavien perustietotekniikka-, infrastruktuuri-, tuki- ja ydinjärjestelmien ICT-palveluiden tuottamisessa. Tätä lukua täydentävät erilliset Excel-taulukot, joissa on yksityiskohtaisemmin purettu auki VAHTI 2/2010 -ohjeen tietoaineistojen elinkaaren hallinnan vaiheiden vaatimukset sekä VAHTI 2/2010 -ohjeen liitteessä viisi kuvattujen tietoturvatasojen vaatimusten toteuttamisen vaatimat tekniset ratkaisut.

4.1 Yleisiä vaatimuksia

VAHTI 2/2010 -ohjeessa todetaan sivulla 41:

Tietoverkkojen ja tietojärjestelmien sisältämät laitteet ja komponentit tulee sijoittaa turvallisiin tiloihin (Tietoteknisten laitetilojen turvallisuussuositus, VAHTI 1/2002). Järjestelmät tulee rakentaa siten, että toiminnan edellyttämä tietotyö voidaan suorittaa asetettujen käytettävyysvaatimusten mukaisesti.”
 
Kuten edellä on todettu, lisätietoa laitetilojen turvallisuudesta löytyy em. VAHTI-ohjeesta ja KATAKRI:n fyysisen turvallisuuden auditointikriteereistä. Käytettävyysvaatimuksista löytyy lisätietoa esimerkiksi JHS 174 ICT-palvelujen palvelutasoluokitus -suosituksesta sekä ICT-varautumisen ja Huoltovarmuuskeskuksen SOPIVA-hankkeen ohjeista.
 
VAHTI 2/2010 -ohjeessa todetaan sivulla 43:
Tietoturvallisuusasetuksessa asetetaan valtionhallinnon viranomaisille vaatimus täyttää
vähintään tietoturvallisuuden perustaso. Perustason ympäristö mahdollistaa suojaustasoa
IV sisältävien tietojen ja asiakirjojen käsittelyn selväkielisessä muodossa. Korotetun tieto-
turvallisuustason ympäristö mahdollistaa suojaustasoa III sisältävien tietojen ja asiakirjojen
käsittelyn selväkielisessä muodossa (tietoturvallisuusasetus,16§3 mom.).
 
Korkean tietoturvallisuustason ympäristö mahdollistaa suojaustasoa II sisältävien tietojen ja asiakirjojen käsittelyn selväkielisessä muodossa (tietoturvallisuusasetus 16 § 2 mom.).
Suojaustasoa I sisältävien tietojen selväkielinen käsittely voidaan toteuttaa vain erillisverkkoympäristöissä, joissa ei ole liitäntöjä alemman tietoturvallisuustason ympäristöön.
Tiedonkäsittelyyn käytettävien laitteiden (työasemien, vast) tulee täyttää kyseiselle tietoturvallisuustasolle asetetut vaatimukset. Työasema, joka itsessään täyttää korkeamman tietoturvallisuustason vaatimukset, on mahdollista erilliseen viranomaishyväksyntään perustuen liittää alemman tietoturvallisuustason ympäristöön.”
 
Tässä yhteydessä tulee korostaa sitä, että organisaation saavuttaessa suojattavalta kohteelta edellytettävän tietoturvatason, voidaan vastaavaa suojaustasoa olevaa tietoaineistoa käsitellä selväkielisessä muodossa eli salaamattomana. Mikäli tietoa halutaan välittää muihin organisaatioihin tai tietojärjestelmiin, jotka eivät ole samalla tietoturvatasolla, pitää tietoaineisto salata siirron ajaksi. Salaamattomana välittämisen edellytyksenä on, että myös tiedonsiirtokanava kokonaisuudessaan täyttää kyseisen tietoturvatason vaatimukset. Mikäli tietoa vastaanottavan osapuolen tietoturvatasoa ei tiedetä, tulee organisaation huolehtia siitä, että vastaanottaja käsittelee tietoa suojaustason vaatimusten mukaisesti. Salassa pidettävien tietojen tekniseen suojaamiseen tulee riskiarvioinnin perusteella käyttää riittävää suojausta kyseiselle suojaustasolle.
 
Esimerkiksi riittävän salauksen arvioinnissa voidaan hyödyntää Viestintäviraston hyväksymiä salausratkaisuja turvaluokitelluille tiedoille (ks. http://www.ncsa.fi,NCSA- FI:n hyväksymät salausratkaisut turvaluokitellulle tiedolle).
 
Samoin on tärkeätä huomata, että korkeamman tietoturvatason vaatimukset täyttävä työasema (esimerkiksi korotetun tason työasema) voidaan liittää alemman tietoturvatason ympäristöön (esimerkiksi perustason ympäristö) hyväksyttävän, korkeammalla tasolla toimivan yhdyskäytäväratkaisun avulla. Hyväksyttävä yhdyskäytäväratkaisu estää korkeamman tason aineiston siirtymisen alemman tason ympäristöön. Hyväksyttäviä yhdyskäytäväratkaisuja on käsitelty yksityiskohtaisemmin esimerkiksi KATAKRI:ssa (ks. erityisesti I 401.0).

4.2 Työasemat ja päätelaitteet

Työasemat ja päätelaitteet muodostavat keskeisen rungon organisaation ICT-palveluiden käytölle. Päätelaitteita tulee tarkastella laajasti jolloin perinteisten työasemien (pöytätietokoneet ja kannettavat tietokoneet) ohella tulee huomioida myös älypuhelimet, tablet- tietokoneet, muut päätelaitteet sekä pääteistunnot. Päätelaitteen tyypistä riippumatta sen tulee täyttää kyseisen käyttötarkoituksen ja käytettävän ICT-palvelun (tässä tapauksessa suojattava kohde) asettamat vaatimukset.

Julkisuudessa on ollut paljon esillä kuluttajistuminen ja siihen liittyvä BYOD-malli (Bring your own device). Tämä tarkoittaa sitä, että käyttäjä voi käyttää organisaation työ- tehtävien hoitamiseen omia, pääsääntöisesti vapaa-ajalla käyttämiään päätelaitteita. Etenkin vapaa-ajan käytössä olevien päätelaitteiden osalta keskeinen haaste on laitteen käyttö muun kuin julkisen tiedon käsittelyyn. Tällaisen laitteen varustaminen esimerkiksi kiintolevyn salakirjoituksella ja keskitetysti hallittavalla haittaohjelmien torjuntajärjestelmällä voi aiheuttaa niin merkittäviä lisäkustannuksia, ettei se ole tarkoituksenmukaista tai muutenkaan mahdollista.

4.2.1 Kaikissa päätelaitteissa sekä palvelimissa huomioitavia seikkoja

Organisaation keskeisimpiä päätöksiä päätelaitteiden tietoturvallisuuden osalta on se mille tietoturvatasolle sen käytössä olevat päätelaitteet vakioidaan ja kovennetaan. Vaaditaan päätös siitä, mitkä organisaation päätelaitteista toteutetaan perus-, korotetun tai mahdollisesti korkean tietoturvatason vaatimukset täyttäviksi. Valtaosa valtionhallinnon organisaatioista tulee toimeen perus- tai korotetun tason päätelaitteilla. Useimmat päätelaitteiden koventamiseen liittyvät toimenpiteet tulee toteuttaa vastaavalla tavalla myös kyseisen tietoturvatason palvelimissa. Edellytettäviä toimenpiteitä on kuvattu yksityiskohtaisemmin KATAKRI:ssa (ks. erityisesti I 502.0).
 
Korkean tason päätelaiteympäristö on tarpeellinen niille organisaatioille, joilta edellytetään esimerkiksi ST II- tai I -tietoaineistojen käsittelykykyä tai vaatimukselle on muita perusteltuja syitä. Tyypillisiä korkean tietoturvatason päätelaitteita käyttäviä organisaatioita ovat osa ns. TUVE-verkkoon liittyvistä tahoista ja/tai muut sellaiset turvaviranomaiset, joilta vaaditaan korkeaa tietoturvatasoa. Muissa organisaatioissa saattaa olla tarve käyttää yksittäisiä korkean tietoturvatason päätelaitteita esimerkiksi ST II- tai I -tietoaineistojen käsittelemiseksi.
 
Päätelaitteiden ja palvelimien tietoturvallisuus tulee rakentaa kerrostetun tietoturva- arkkitehtuurin mukaisesti (ns. sipuli-malli). Tällöin yhden tai useamman teknisen tieto- turvakontrollin pettäessä toiminnassa olevat tekniset ratkaisut joko estävät tai rajoittavat syntynyttä ongelmaa. Kerrostuneisuus tulee alkaa päätelaitteista ja jatkua tietoliikenneverkkojen ja laitteiden kautta käytettäviin palvelimiin ja palveluihin. Seuraavassa on kuvattu suositeltavia esimerkkejä eri osa-alueilla käytettävistä teknisistä tietoturvaratkaisuista.
 
Esimerkkejä päätelaitteisiin liittyvistä teknisistä ratkaisuista, joita voidaan käyttää laitteiden suojaamisessa – näitä voidaan soveltaa jo perustasolla, mutta useimmat liittyvät korotetun tason työasemakäyttöön – tarkemmin Excel-liitteissä 5.2 ja 5.3.
  • päätelaitteen käynnistys- ja muiden asetusten vakioiminen
    • kuten tunnettua, BIOS-käynnistysasetusten ohittaminen on teknisesti mahdollista,
    • uudemmilla BIOS- ja muilla käynnistysratkaisuilla (UEFI, secure boot) voidaan asetuksia suojata tehokkaammin
  • kiintolevyn salaaminen siten, että organisaatiolla on tarvittaessa pääsy salatulle levylle, jos käyttäjä ei tiedä salasanaa tai tiedot on varmistettu organisaation levyjärjestelmään
  • vaihdettavien apumuistien salaaminen
  • käyttöoikeuksien rajoittaminen
    • käyttäjällä saa olla vain käyttäjätason (user) käyttöoikeudet
    • järjestelmänvalvojatason käyttöoikeuksia saa käyttää työasemassa vain sellaisten tehtävien toteuttamiseen, jotka eivät onnistu käyttäjätason oikeuksilla
  • käyttöjärjestelmän ja sovellusten koventaminen sekä tietoturva-asetusten määrittäminen
    • käytettävien ohjelmistojen määrän minimoiminen osana vakiointia
    • Windows-työasemaympäristössä työaseman lokiin kerättävät tapahtumat (suojaus- eli security-lokin valvontakäytännöt) käytettävän www-selainohjelman asetukset ja koventaminen
    • sähköpostiohjelmiston asetukset ja koventaminen
    • PDF-lukijoiden, toimisto-ohjelmistojen ja vastaavien asetukset ja koventaminen
  • Windows-työasemaympäristössä GPO-ryhmäkäytäntöjen hyödyntäminen
    • pakotetut asetukset; ohjeita näistä löytyy yleisimmistä käyttöjärjestelmien vakiointiohjeista
  • Windows-työasemaympäristössä Active Directory -toimialueen keskitetyt tietoturva- asetukset
    • salasana- ja muut toimialueen tietoturvapolitiikkaan liittyvät asetukset
  • käyttöjärjestelmän ja sovellusten tietoturva- ja muiden päivitysten jakelu sekä raportointi
    • esimerkiksi Windows-työasemaympäristössä keskitetyn hallinnan ulkopuolella olevissa tietokoneissa suoraan käyttäen WindowsUpdate -palvelua
    • muissa työasemissa käyttäen keskitettyä päivitysten jakelua Microsoft WSUS- palvelinohjelmistolla tai muulla vastaavalla ohjelmistolla
  • Windows-työasemaympäristössä  sallittujen  ajettavien  sovellusten  ja  skriptien  sekä asennustiedostojen määritteleminen
    • esimerkiksi Windows-työasemaympäristössä Applocker-toiminnallisuus
  • käyttäjän ja/tai työaseman vahvan tunnistamisen mahdollistavat teknologiat etäyhteyksissä ja muussa tunnistamisessa
  • päätelaitteen haittaohjelmien torjunta 
    • perinteisten antivirus-ohjelmistojen lisäksi myös muiden haitallisten ohjelmien torjunta
    • useissa sovelluksissa on lisätoiminnallisuuksina esimerkiksi www-liikenteen tai sähköpostiliikenteen turvatarkastus
  • palomuurit
    • sekä organisaation sisäverkossa että julkisissa verkoissa toimittaessa
    • päätelaitteiden palomuuri tulee olla käytössä myös organisaation sisäverkossa toimittaessa
  • työasemassa käsiteltävien tietoaineistojen varmuuskopiointi
    • esimerkiksi Windows-työasemaympäristössä käyttäjän tietoaineistojen kopioiminen / synkronoiminen voidaan toteuttaa Offline-toiminnallisuudella
  • laitteiden etähallinnan tietoturvallinen toteuttaminen
    • organisaation sisäverkossa tai sen ulkopuolella toimittaessa
    • etähallintakäyttäjän tunnistaminen  
    • käyttöpolitiikka siitä, miten etähallintaa voidaan hyödyntää ja minkälaista yhteydenoton hyväksyntää se loppukäyttäjältä edellyttää
  • näyttösuojien käyttäminen
    • kannettavissa tietokoneissa ja pöytätietokoneissa sellaisissa käyttöympäristöissä, joissa tulee estää tiedon paljastuminen lähistöllä oleville henkilöille
  • laitteen elinkaaren hallinta; sisältää tilaamisprosessin, huoltamisen, käytön aikaisen tuen (esimerkiksi laitteisto- ja ohjelmistoinventoinnit) sekä laitteen ja sen apumuistien tietoturvallisen hävittämisen
Esimerkkejä tietoliikenteeseen liittyvistä teknisistä ratkaisuista, joita voidaan käyttää tietoliikenteen suojaamisessa – näitä voidaan soveltaa jo perustasolla, mutta useim- mat liittyvät korotetun tason tietoliikenneympäristöön– tarkemmin Excel-liitteissä 5.2 ja 5.3.
  • organisaation palomuuri(t), joka tarjoaa myös tarvittavat suojavyöhykkeet (DMZ- alue, WLAN-vierailijaverkossa tarvittavat ja muut mahdolliset vyöhykkeet)
    • tarvittava lokitus; kielletyt ja sallitut yhteydet; lokitetaan periaatteessa kaikki liikenne
    • hälytysten tuottaminen sekä niihin reagoiminen
    • oletuksena kaikissa politiikoissa tulee olla ”default deny” -määrittely, jossa kielletään kaikki muut paitsi sallitut yhteydet
  • IDS/IPS-järjestelmä tunkeutumisen havainnointiin ja estämiseen
    • prosessi hälytysten ja raporttien valvontaan sekä näihin reagoimiseen
  • tietoliikennelaitteiden asetusten varmuuskopiointi
  • tietoliikennelaitteiden ohjelmaversioiden tarkkailu ja päivitysten jakeleminen
  • yhdyskäytäväratkaisut
    • eri suojaustasojen väliset yhdyskäytäväratkaisut, jotka estävät pääsyn korkeamman tason tietoon matalamman tason ympäristöstä (esim. datadiodit ja muut luotettavina pidetyt ratkaisut)
    • HTTP/HTTPS-liikenteen haittaohjelmien tarkistaminen, liikenteen rajoittaminen ja suodattaminen
    • SMTP-sähköpostiliikenteen haittaohjelmien tarkistaminen, mahdollinen liikenteen rajoittaminen ja suodattaminen sekä roskapostin suodattaminen
    • toimintaprosessi hälytysten ja raporttien käsittelyyn
      • vaikka tämä ostettaisiin palveluna, se ei vähennä organisaation vastuuta huolehtia prosessin toimivuudesta
      • perustasolla organisaation tulee saada vähintään puolivuosittain raportti ja korotetulla tietoturvatasolla neljännesvuosittainen raportti toimittajalta hankittujen tietoturvallisuuteen liittyvien palveluiden toiminnasta ja poikkeamista
      • kriittisistä poikkeamista tai muista uhkatilanteista raportointi pitää olla sovittuna, pääsääntöisesti näistä tulee tapahtua yhteydenotto välittömästi, vaikka organisaatiolla ei olisikaan kykyä tai tarvetta itse ryhtyä toimenpiteisiin. Organisaation tulee kuitenkin saada välittömästi tieto tapahtuman ajankohdasta ja sen perusteella käynnistetyistä toimenpiteistä.
  • kuormantasausjärjestelmä sovelluskäyttöä varten
  • tietoliikennelaitteiden kahdentaminen vikasietoisuuden kasvattamiseksi
    • mitä kriittisemmästä tietoliikennelaitteesta on kysymys (palomuurilaite, organisaation reititin tai runkokytkin), sitä korkeampi palvelutaso sopimuksiin tulee kirjata viankorjaukselle tai vaihtolaitteelle, erityisesti jos kyseistä laitetta tai toiminnallisuutta ei ole kahdennettu
    • myös kahdennettujen järjestelmien osalta tulee huolehtia tarkoituksenmukaisista palvelutasosopimuksista; näitä koskevissa teknisissä ongelmissa vianselvitys on usein haastavampaa kuin yksittäisissä laitteissa tai ratkaisuissa
  • tietoliikenteen ja etäyhteyden salaamisen mahdollistavat salausohjelmistot (VPN, jne)
  • tietoliikennelaitteiden asetusten varmuuskopiointi on myös osa toimivaa konfiguraationhallintaa
Esimerkkejä palvelinympäristöön liittyvistä teknisistä ratkaisuista, joita voidaan käyttää palvelinten suojaamisessa – näitä voidaan soveltaa jo perustasolla, mutta useimmat liittyvät korotetun tason palvelinkäyttöön – tarkemmin Excel-liitteissä 5.2 ja 5.3.
 
Esimerkkejä palvelinympäristöön liittyvistä teknisistä ratkaisuista, joita voidaan harkita käytettäväksi:
  • katso kohta päätelaitteet ja sovella siellä olevia ratkaisuja myös palvelintasolla, niiden lisäksi esimerkiksi
  • palvelimen ja tietojärjestelmien varmuuskopiointi ja tarkoituksenmukainen varmistuspolitiikka
  • korkean käytettävyyden toteuttaminen palvelimen ja/tai tietokannan kahdentamiseen perustuvalla vikasietoisella järjestelmällä, kokonaisuuden on tuettava korkeaa käytettävyyttä
  • vikasietoisen paikallisen tai hajautetun levyjärjestelmän käyttäminen (RAID, SAN)
  • käyttöoikeuksien oikeaoppinen toteuttaminen palvelinympäristössä
    • hallintatunnukset ja -oikeudet
    • järjestelmätunnukset ja -oikeudet
    • käyttäjätason tunnukset ja -oikeudet
  • palvelinkapasiteetin ja vikatilanteiden valvonta ja hälytykset
  • virtualisoiduissa palvelinympäristöissä virtuaaliympäristön hallintaan liittyvät asiat:
    • virtuaalipalvelinympäristön isäntäkoneen tietoturvallisuudesta huolehtiminen muita palvelinlaitteita vastaavalla tavalla
    • virtualisoitujen tietoliikennelaitteiden tietoturvallisuus
    • hallintajärjestelmän tietoturvallisuus:
      • hallintajärjestelmän käyttöoikeudet
      • hallintajärjestelmän kahdentaminenvirtuaalipalvelimien hallintaan liittyvät prosessit ja niihin liittyvä lokitus:
        • uusien virtuaalipalvelimien tuottaminen (kloonaus)
        • virtuaalipalvelimien hävittäminen
        • virtuaalipalvelimien varmuuskopiointi snapshot- sekä muilla menetelmillä ja tällä tavalla otettujen varmistusten käsittely
      • viranomaisen tiedon suojaaminen pääkäyttäjäoikeuksin toimivilta (ulkoistetuilta) ylläpitäjiltä silloin, kun se on käytännössä mahdollista esimerkiksi tietokannan sisällön salakirjoittamisella ja/tai tiedon holvauksella
      • lokitiedon siirtäminen automaattisesti palvelimen ulkopuolelle keskitettyyn ja suojattuun lokipalvelimeen

4.2.1 Kannettavissa päätelaitteissa huomioitavia seikkoja

Salaus tietoa tallennettaessa
Kannettavat päätelaitteet ovat tyypillisesti kannettavia tietokoneita, tabletteja tai älypuhelimia. Niiden tietoturvallisuudelle erityisen haasteen aiheuttavat vaihtelevat käyttöympäristöt, joiden fyysistä tietoturvallisuutta ei voida varmistaa. Tästä syystä laitteella olevien tietojen tarvittavasta salaamisesta tulee huolehtia. Tämä on varminta toteuttaa kiintolevyn salaavalla ohjelmistolla, joka on organisaation ICT-tuen keskitetyssä hallinnassa. Vrt. KATAKRI (erityisesti I 506.0).
 
Salaus tietoa siirrettäessä
Kannettavia päätelaitteita käytettäessä myös tietoliikenneyhteydet voivat olla eri tavoin toteutettuja. Päätelaite on suositeltavaa varustaa joko kaiken tietoliikenteen automaattisesti salaavalla ratkaisulla (esimerkiksi VPN/SSL-VPN) tai salata tietoliikenne asiakasohjelmittain (client-tasolla). Tarvittaessa käyttötilanteissa tulee huolehtia myös vahvasta käyttäjän ja/tai päätelaitteen tunnistamisesta.
 

4.2.2 Pääteistunnoissa huomioitavia seikkoja 

Pääteistunnoilla tarkoitetaan sellaista ICT-palveluiden käyttöä, jossa palvelun käyttämiseen tarvittava yhteys luodaan asiakasohjelman (ns. client-ohjelmisto) tai www-selaimen sijaan pääteistuntona (ns. terminal session). Käytössä olevalta laitteelta (pöytätietokone, kannettava tietokone, tabletti, älypuhelin, ns. tyhmä pääte) muodostetaan salattu ja tarvittaessa vahvasti tunnistettu istunto päätepalvelimeen, jossa toimii halutun ICT-palvelun käyttämisen mahdollistava asiakasohjelma tai www-selain.

Pääteistunto on kustannustehokas ja useissa ympäristöissä riittävän tietoturvallinen tapa toteuttaa perus- ja korotetun tietoturvatason ICT-palveluita esimerkiksi silloin, kun halutaan tarjota nopeasti uusia palveluita suurelle määrälle käyttäjiä tai kun päätelaitteeseen asennettavien ohjelmistoversioiden tai niiden apukirjastojen tai -ohjelmistojen välillä syntyy ristiriitatilanteita, jotka estävät niiden samanaikaisen käytön.
 
Pääteistunnossa käsiteltävä tieto on mahdollista yrittää kaapata esimerkiksi päätelaitteeseen istutetulla keylogger-tyyppisellä vakoiluohjelmalla. Tämän takia tulisi pyrkiä vahvaan käyttäjä- sekä päätelaitteen tunnistukseen tällaisen väärinkäytön minimoimiseksi.
 
Pääteistunto voi kohdistua yksittäisen ICT-palvelun sijaan myös kokonaiseen käyttöympäristöön, esimerkiksi käyttäjän omaan työpöytään. Tällöin käyttäjän virtualisoitu työpöytäympäristö (VDI, Virtual Desktop Interface) sijaitsee tietoturvallisessa, esimerkiksi korotetun tietoturvatason palvelinympäristössä. Kriittiseksi tietoturvallisuuden kannalta tällöin jää käyttäjän päätelaiteympäristö, johon liittyy käyttäjätunnistus, käytettävä tieto- liikenneympäristö, alustan luotettavuus sekä fyysinen ympäristö.
 
Virtuaalinen työpöytäistunto tai yksittäisen ICT-palvelun käyttöön tarkoitettu pääte- ratkaisu tarjoaa hyvän suojan esimerkiksi perinteisiä haittaohjelmia vastaan, koska käytettävällä päätelaitteella ei ole suoraa tiedostotason yhteyttä käytettävään ICT-palveluun. Jos istunnossa otetaan käyttöön palvelimilla olevia levyjakoja, riski kasvaa. Asiakasohjelmien ylläpito (versioiden hallinta, päivitykset jne.) helpottuu keskitettyä ratkaisua käytettäessä. Hyvin toteutettu pääteistuntoratkaisu huolehtii myös siitä, että käytettävään päätelaitteeseen ei tallennu käyttäjätunnus- tai salasanatietoja edes salatussa muodossa tai väliaikaistiedostoja, jotka mahdollistaisivat luottamuksellisen tiedon vuotamisen. Lisäksi päätelaitteeseen voidaan ennen yhteyden sallimista tarvittaessa suorittaa tietoturvatarkistus (ns. terveystarkastus, health check, nac, network access control), jolla voidaan pyrkiä suojautumaan joitain, lähinnä alustan turvallisuuteen vaikuttavia uhkia vastaan.
 
Kuva 14. Perinteinen etäkäyttötapa muodostaa päätelaitteelta suoran yhteyden organisaation ICT-palveluihin. Päätelaitteen tietoturvallisuus on tärkeää, koska sen murtuminen saattaa mahdollistaa väärinkäyttäjälle suoran pääsyn organisaation palveluihin, tietovarastoihin tai pahimmillaan sisäverkkoon.
 
 

Kuva 15. Pääteistunto pienentää päätelaitteeseen kohdistuvia uhkia ja parantaa tietoturvallisuutta, koska siitä ei ole suoraa yhteyttä käytettäviin tietojärjestelmiin tai tietovarastoihin. Päätelaitteeseen siirretään pelkkä kuva virtualisoidulla työpöydällä tai päätepalvelimella toimivasta istunnosta.

4.3 Erityisesti huomiotavia teknisiä ratkaisuja

4.3.1 Käyttäjän tunnistaminen

Tietojärjestelmien turvallinen käyttö pohjautuu käyttäjien tunnistamiseen. Tunnistaminen on myös edellytys toimivalle käyttövaltuuksien myöntämiselle ja hallinnalle. Tunnistustavasta riippuen puhutaan heikosta ja vahvasta tunnistamisesta. Kun palveluita käytetään organisaation turvalliseksi katsotuista toimitiloista organisaation sisäverkossa, heikko tunnistaminen (käyttäjätunnus ja salasana) katsotaan riittäväksi valtaosaan palveluita. Käyttäjän tunnistamista eri suojaustason järjestelmissä on käsitelty yksityiskohtaisemmin KATAKRI:ssa (I 501.0). Lisätietoja tunnistamismenettelyistä löytyy myös VAHTI-ohjeesta 12/2006 Tunnistaminen julkishallinnon verkkopalveluissa.
 
Vahvaa tunnistamista pitää käyttää esimerkiksi silloin, kun käytetään korotetun tai korkean tietoturvatason palveluita organisaation ulkopuolisista tietoliikenneverkoista tai turvattomiksi katsotuista toimitiloista. Vahvalla tunnistamisella voidaan tällöin pienentää riskiä, joka syntyy organisaation turvallisten toimitilojen ja tietoverkkojen ulkopuolella toimimisesta.
 
Vahva tunnistaminen nojautuu kahteen tai useampaan todentamistapaan. Usein käytössä on käyttäjätunnus ja salasana, joiden lisäksi toisena todentamistapana voidaan käyttää esimerkiksi seuraavia ratkaisuja:
  • toimikortti
  • token-pohjainen tunnistekortti
  • mobiilivarmenne puhelimessa
  • tunnetut, luotettavaksi todetut kansalliset tunnistuspalvelut
  • muu tunnusmerkit täyttävä tekninen ratkaisu, esimerkiksi matkapuhelimeen tuleva tekstiviesti tai puhelu, joka edellyttää yleensä lisäksi käyttäjän tunteman PIN-koodin syöttämistä.

 

4.3.2 Tietojen salaaminen

Tietojen luottamuksellisuuden turvaaminen edellyttää useissa tapauksissa tietojen salaamista. Salauksella suojataan esimerkiksi tietoliikenneyhteyksiä tai tietoaineistoja kun niitä tallennetaan päätelaitteelle, siirrettävälle apumuistille tai palvelinlaitteelle. Salaamista edellyttäviä käyttötilanteita tietojärjestelmissä on kuvattu yksityiskohtaisesti KATAKRI:ssa (erityisesti I 505.0 ja I 506.0). Oleellisia tekijöitä ovat luotettavan salausratkaisun käyttäminen (KATAKRI I 509.0), valitun ratkaisun turvallinen konfigurointi ja hallinnointi, sekä erityisesti turvalliset avainhallintakäytännöt (KATAKRI I 510.0).
 
Salassa pidettävien tietojen suojaaminen pelkästään hallinnollisen ja fyysisen turvallisuuden keinoin on tyypillisesti perusteltua vain tiukasti rajatuissa suljetuissa ympäristöissä. Ottamalla käyttöön tietojen salaaminen mahdollistetaan salassa pidettävien tietojen käsittely ja siirto myös edellistä monipuolisemmissa, yleiskäyttöisimmissä ympäristöissä ja käyttötilanteissa. Erityisesti turvallisuusluokitellun tietoaineiston käsittely edellyttää useimmissa käyttötilanteissa salaukseen perustuvaa suojaamista (KATAKRI I 401.0, I 505.0, I 506.0, I 509.0) koko suojattavan tiedon elinkaaren ajan.
 
Organisaation sisäisessä sähköpostissa tai muussa viestinnässä voidaan käsitellä tieto- turvallisuuden perustasolla ST IV -tason aineistoja selväkielisessä muodossa ainoastaan ympäristöissä, joissa viestintäratkaisu (tietojenkäsittely-ympäristö) kokonaisuudessaan täyttää kyseiselle tasolle asetetut perustason vaatimukset. Erityisesti tulee huomioida, että aina kun liikenne kulkee julkisen verkon (Internet, puhelinverkko, matkapuhelinverkko, tai muu verkko, mikä ei ole ko. suojaustason vaatimusten mukainen) kautta, on liikenne (tai aineisto) salattava luotettavasti siirrettäessä luokiteltuja, salassa pidettäviä tietoaineistoja. Mikäli samaa viestintäratkaisua halutaan käyttää myös mobiilisti (esimerkiksi sähköposti älypuhelimilla tai tableteilla), tulee korkeamman suojaustason tai turvaluokitellun aineiston kulkeutuminen estää mobiililaitteille, mikäli laitteiden ja kaiken niille kulkevan liikenteen hyväksytystä suojauksesta ei ole huolehdittu. Suojausvaatimuksista lisätietoja löytyy esimerkiksi KATAKRI:sta (I 506.0, I 509.0, I 605.0, I 703.0 ja I 704.0).
 
Viestintäviraston NCSA-FI -yksikkö on salaustuotteiden hyväksynnässä Suomen kansallinen toimivaltainen viranomainen (CAA, Crypto Approval Authority), joka voi hyväksyä turvallisuusluokiteltujen tietojen suojaamisessa käytettävät salausratkaisut. Lista hyväksytyistä salausratkaisusta löytyy NCSA-FI:n verkkosivuilta (www.ncsa.fi). Kaikkia hyväksyttyjä salausratkaisuja ei julkaista julkisella www-sivulla. Salausratkaisujen valmistajilla on mahdollisuus saada tuotteensa hyväksyttyjen listoille, mikäli ratkaisu täyttää sille asetetut vaatimukset ja läpäisee toimivaltaisen viranomaisen tekemän tarkastuksen. Lisätietoja salaustuotehyväksynnästä saa Viestintäviraston NCSA-FI -yksiköstä.
 
Useimmat SSL-/TLS-pohjaiset sähköpostiliikenteen salausratkaisut soveltuvat turvaluokitellun tiedon osalta korkeintaan tasolle ST IV (KÄYTTÖ RAJOITETTU). ST IV -tasolle hyväksyttävissä olevan ratkaisun tulee muun muassa käyttää riittävän vahvaa ja oikein toteutettua algoritmia, luotettavaa avainvaihtomenettelyä sekä olla turvallisesti konfiguroitu ja ylläpidetty. Osassa kaupallisista tuotteista on tunnettuja heikkouksia, mikä estää niiden käytön turvaluokitellun tiedon suojaamiseen. Muun kuin turvaluokitellun salassa pidettävän tiedon suojaamiseen voidaan tapauskohtaisesti harkita käytettäväksi luotettavasti toteutettuja SSL-/TLS-pohjaisia salausratkaisuja jopa ST III -tasolle asti. Turvaluokitellun ST III (LUOTTAMUKSELLINEN) -tiedon käsittely asettaa tyypillisesti lisävaatimuksia erityisesti salausalustalle (luotettu rauta-alusta).
 
Useimmat niin sanotut turvapostiratkaisut eivät sellaisenaan sovellu turvaluokitellun tiedon välittämiseen. Hyvin hallinnoituja, riittävän vahvan salauksen ja ennen kaikkea riittävän turvallisen avainten jakelun tarjoavia viranomaistarkastettuja ja -hyväksyttyjä ratkaisuja on kuitenkin mahdollisuus käyttää ST IV -tason tietoaineiston välittämiseen. Salausavainta ei saa koskaan lähettää selväkielisessä sähköpostissa ilman muuta varmennusta, esimerkiksi muulla tavalla toimitettua PIN-koodia. Organisaatioiden, jotka harkitsevat sähköpostilla linkkien välitykseen perustuvan ratkaisun hyväksymistä käyttöympäristössään, tulee kiinnittää huomiota kyseisten ratkaisujen vaikutuksiin käyttöympäristönsä (tyypillisesti ST IV -tason ”toimistoverkko”) kokonaisturvallisuuteen. Nykyisin yleisin tapa, jolla organisaatioiden tietojärjestelmiin murtaudutaan, on lähettää kohdeorganisaatioon linkki haittaohjelman sisältävälle, usein päällisin puolin viattomalta vaikuttavalle sivustolle. Tukemalla sähköpostilla lähetettyjen linkkien avaamista, organisaatio avaa järjestelmänsä suojaukset yleisimmille hyökkäyksille, usein tietämättään.
 
Usein onkin suositeltavaa sopia turvallisen tietojenvaihdon mahdollistavat kanavat erikseen tiedon omistajan ja viestien vastaanottajien kanssa. Tyypillisiä ratkaisuja ovat ST IV -tasolla hyväksytyn salausohjelmiston ja avainhallintamenettelyn käyttö, tai ST IV- ja korkeammilla tasoilla organisaatioiden välisen suojatun tiedonsiirtojärjestelmän käyttö. Jälkimmäisen ratkaisumallin käyttöä pyritään tukemaan ja laajentamaan useissa valtionhallinnossa käynnissä olevissa hankkeissa (esim. TUVE ja VY-verkko).

4.3.3. Tulostinjärjestelmät ja tulostaminen 

Vaikka paperittomasta toimistosta on puhuttu jo pitkään, se antaa vielä odottaa itseään. Päätelaitteiden näyttöergonomian, helppokäyttöisyyden ja laadun parantuessa voidaan yhä enemmän myös pitkiä asiakirjoja lukea päätelaitteilta. On kuitenkin runsaasti tilanteita ja käyttäjiä, jotka tarvitsevat paperimuodossa olevaa aineistoa työssään, joten tulostamisen ja tulosteiden aiheuttamaa riskiä ei tule aliarvioida luottamuksellisen tietoaineiston päätymisessä ulkopuolisille tahoille.
 
Tulostinjärjestelmiä ja -palveluita tuotettaessa tulee kiinnittää huomiota mm. seuraaviin seikkoihin:
  • korotetun ja korkean tietoturvatason organisaatioissa keskitetyt tulostimet tulisi varustaa turvatulostuksella, jolloin käyttäjä saa tulosteensa ulos kirjoittimelta vasta PIN-koodin tai toimikortin syötettyään
  • korotetun ja korkean tietoturvatason organisaatioissa liikenne tulee kulkea työasemien ja tulostimen välillä suojattuna (salaus tai fyysinen suojaus).
  • tulostimella olevaan kiintolevyyn saattaa kertyä salassa pidettävää tietoa, joka tulee huomioida ja hävittää tietoturvallisesti sekä huoltotilanteissa että laitetta poistettaessa
  • tarve tietoliikenneyhteyden salaamiseen tulostinpalvelimen ja tulostimien välillä tulee selvittää
    • vaikka työasemilta tulostinpalvelimelle kulkeva tietoliikenne kulkisi salattuna, tulostimen yhteyteen liitetty tietoliikenteen salakuuntelulaite pystyy kaappaaman kaiken tulostinpalvelimelta tulostimelle tulevan salaamattoman tiedon
  • koska yhä enemmän siirrytään käyttämään ns. monitoimilaitteita, jotka toimivat tulostimen ohella skannereina ja fax-laitteina, tulee huolehtia skannauksen tai faksauksen tuloksena syntyvien tiedostojen säilyttämisestä palvelimilla käyttöoikeuksilla suojattuna ja huolehtia tarpeettoman aineiston turvallisesta hävittämisestä skannauksen tai faksauksen jälkeen
  • mikäli monitoimilaitteelle, tulostimelle tai muuhun toimistokäyttöön tarkoitetulle laitteelle sallitaan toimittajan tai palvelun tuottajan hallintaan tarkoitettu tietoliikenneyhteys, pitää ensisijaisesti harkita yksisuuntaista yhteyttä, jossa laite voi ainoastaan lähettää hälytys- ja tilatietoja toimittajan ylläpitämään keskitettyyn palveluun.

Toimittajalla ei saa olla suoraan pääsyä laitteelle.

  • mikäli toimittajalle halutaan sallia ns. etähuolto- tai hallintayhteys laitteeseen, yhteydet tulee toteuttaa käyttäen erillisiä virtuaalisia verkkoja sekä tarvittaessa sallia yhteydet toteutettavaksi vain lupamenettelyn kautta, jossa erikseen avataan pääsy palomuurin läpi. Lupa voi olla väliaikainen tai pysyvä, mutta se tulee selkeästi päättää ja laatia prosessi sen mukaisesti. Etähuolto- tai hallintayhteydet voidaan sallia tyypillisesti vain perustason verkkoihin kun muut suojamekanismit ovat kunnossa. Korkean tietoturvallisuuden organisaatioissa toimistolaitteiden etähuolto- tai hallintayhteydet tulee poistaa käytöstä tai toteuttaa paikallisesti erillisverkoissa.

 

4.3.4 Palvelujen etäkäyttö

Palveluiden etäkäytöllä – tai yleensä etäkäytöllä – tarkoitetaan tässä ohjeessa organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä tätä tarkoitusta varten hankitulla päätelaitteella. Normaalisti päätelaitteena toimii organisaation henkilön käyttöön antama kannettava tietokone, mutta myös muiden päätelaitteiden, esimerkiksi älypuhelimien ja tablettien käyttö yleistyy entisestään. Käytännössä etäkäyttö voi tapahtua kotoa, hotellista, toisesta organisaatiosta, julkisesta kulkuneuvosta tai sellaisen odotustilasta, periaatteessa mistä päin maapalloa tahansa mihin tahansa kellonaikaan. Turvallisuusluokitellun tiedon osalta etäkäyttö soveltuu lähinnä IV-tasolle, sillä ST III (LUOTTAMUKSELLINEN) -tason aineiston käsittely edellyttää aina viranomaisen hyväksymää fyysisesti suojattua tilaa, tai tietyissä erityistapauksissa korvaavia suojausmenetelmiä (esim. tietyt poliisioperaatiot). Kansallisten tietoaineistojen osalta etäkäyttö on mahdollista toteuttaa ST III -tietoaineistoja käsitteleviin järjestelmiin esimerkiksi henkilön kotoa tai muusta sovitusta, turvallisesta fyysisestä sijainnista.
 
Myös etätyöhön tarvitaan yleensä etäkäyttöratkaisua. Etätyö on satunnaista etäkäyttöä säännönmukaisempaa ja tarkemmin sovittua sekä työtehtävien että siihen soveltuvien työpisteiden osalta. Tyypillinen etätyöympäristö on henkilön koti, josta työntekijä tekee kannettavalla tai kotiin kiinteästi asennetulla pöytäkoneella etätyötä esimerkiksi yhden päivän viikossa. Etätyöskentelyssä tulee huolehtia tietoturvallisuudesta samalla tavalla kuin työskenneltäessä organisaation toimitiloissa.
 
Luvanvaraisuus
Etäkäyttö on oltava aina luvanvaraista ja organisaatiolla tulee olla prosessi sen anomiseen, myöntämiseen ja peruuttamiseen. Lupaa haettaessa pitää määrittää, mitä työtehtäviä varten lupa anotaan, mitä tietojärjestelmiä etäkäytön kautta on mahdollista käyttää sekä millaisia tietoaineistoja organisaation ulkopuolisissa tiloissa on milläkin edellytyksellä mahdollista käsitellä. Tietojärjestelmien pääkäyttäjien osalta tulee joka kerta erikseen arvioida, mistä ja millaisella etäkäyttöratkaisulla käyttö sallitaan. Lupa haetaan lomakkeella tai kuvatulla sähköisellä menettelyllä. Mallilomake organisaation omaan käyttöön mukautettavasta etäkäyttöluvasta on saatavilla Valtion IT-palvelukeskuksen työkalupakista.
 
Tämän ohjeen liitteenä olevassa Excel-työkalusta on kuvattu ne etäkäyttöratkaisun tekniset vaatimukset, jotka organisaation tulee täyttää käyttäessään Valtiokonttorin / Valtion IT-palvelukeskuksen tarjoamia valtionhallinnon yhteisiä palveluita. Organisaatio voi käyttää tätä myös mallina luodessaan menettelyitä omien palveluidensa etäkäyttöön.
 
Etäkäytön tekninen käyttöympäristö
Etäkäytön teknisessä ympäristössä on huomioitava esimerkiksi alla olevien osa-alueiden vaatimukset, jotka vaihtelevat valitun tietoturvatason mukaan. Vaatimukset löytyvät liitteessä 5.7 olevasta etäkäytön tekniset vaatimukset Excel-tiedostosta.
 
Etäkäyttöratkaisun keskeiset huomioitavat seikat ovat:
  • etäkäytön kautta tarjottavat palvelut eri työrooleille
  • käytettävissä olevan etäkäyttöympäristön fyysinen turvallisuus
  • käytettävissä olevan päätelaitteen tietoturvallisuus
  • käytettävissä olevien tietoliikenneyhteyksien tietoturvallisuus ja niissä tarvittavat salausmenetelmät
  • päätelaitteen ja käyttäjän tunnistaminen

4.4 ICT-palveluiden tuottaminen

4.4.1 Itse ylläpidetty vai ulkoistettu ICT-palvelu?

Eräs merkittävimpiä viime vuosina esiin nousseista suuntauksista on palveluiden ulkoistaminen. Sen keskeinen kustannustekijä on virtualisointiteknologioiden kehittyminen ja niiden mahdollistamat jaettujen kapasiteettien (palvelimet, levyt, kytkimet, varmistus, palomuurit) tuomat mahdollisuudet. Tässä luvussa kuvaamme kaikki keskeiset ICT-palveluiden tuotantomallit, joilla organisaatio itse tai sille palveluita tuottava toimittaja pystyy niitä tuottamaan. ICT-palveluiden tuotantomallin ääripäitä ovat täysin ulkoistettu palvelu sekä täysin keskitetty, itse tuotettu ratkaisu, joka sisältää kaikki palveluun liittyvät infrastruktuuri-, tuki-, sovellus- ja käyttöpalvelut tietoliikenneratkaisuineen. Tuotanto- mallista riippumatta organisaatio vastaa aina itse kaikesta palvelun tietoturvallisuudesta, joten tietoturvallisuus täytyy huomioida palvelun määrittelyssä, hankinnassa ja sopimuksissa.
 
Viime vuosien selkeä suuntaus on ollut palveluiden kokonaisvaltainen ulkoistaminen tai yksittäisten palveluiden ostaminen erilaisilla uusien teknologioiden tarjoamilla hankintamalleilla (esim. SaaS, Software as a Service).

4.4.2 XaaS-palveluiden tuotantomalleina

Organisaatio voi toteuttaa itse tai hankkia osan tai kaikki ICT-palvelun osa-alueet käyttäen uusia palveluiden tuottamismalleja. Kun ostetaan jotain ICT-palvelun osa-aluetta palveluna (as a Service), niin siitä usein käytetään XaaS-lyhennettä. Tunnetuimmat vaihtoehdot ovat IaaS, PaaS ja SaaS, joita on kuvattu seuraavissa kappaleissa.
 
Kuva 16. Organisaatio voi ostaa palveluna laitekapasiteettia (IaaS), sovellusalustaa (PaaS) tai sovelluksia (SaaS).
 
 
 
IaaS – Infrastructure as a Service
 
IaaS tarkoittaa palveluna ostettavaa laitteistokapasiteettia. Sen sijaan, että organisaatio huolehtii itse omasta konesalista ja siellä olevasta teknisestä infrastruktuurista, se voi ostaa tarvitsemaansa prosessoritehoa, levykapasiteettia, varmistusjärjestelmää tai tietoliikennekapasiteettia palveluna. Keskeisinä etuina tällaisissa ratkaisuissa korostetaan helppoa skaalautuvuutta sekä ylös- että alaspäin, myös hinnoittelun osalta. Lisää kapasiteettia voidaan tarvittaessa saada nopeasti lyhyeksikin aikaa. Vastaavasti esimerkiksi yöaikaan, kun palvelua käytetään vähemmän, kapasiteettia voidaan vähentää ja pienentää palvelun kustannuksia. Kuten kaikkien oman verkon ulkopuolelta hankittavien palveluiden, tämänkin palvelun haasteena on tietoliikenneyhteyksien saatavuus. Myös tiedon luottamuksellisuuden säilyttäminen, auditointien toteuttaminen, toimittajan henkilöstöstä tehtävät lakisääteiset turvallisuusselvitykset ja tietoturvallisuuden huomioiminen lokitietojen käsittelyssä voivat aiheuttaa ongelmia, erityisesti jos käytetään useamman asiakkaan kesken jaettua ympäristöä.
 

Kuva 17. IaaS-palvelua ostaessaan organisaatio ulkoistaa palvelutoimittajalle kaikki tai osan omassa hallinnassaan ja omistuksessaan olleesta teknologiasta. Kuvasta puuttuvat tietoliikenneyhteyden suojaukseen tarvittavat palomuuri- ja muut ratkaisut.

PaaS – Platform as a Service
 
PaaS-palvelussa asiakas pystyy julkaisemaan sovelluksia tai muuten hyödyntämään toimittajan sovelluspalvelinympäristöä siten, että toimittaja huolehtii kaikista tarvittavista prosesseista, sovelluskehitys- ja muista rajapinnoista sekä liittymistä palvelusopimuksen mukaisesti. PaaS tarjoaa organisaatiolle nopean ja vaivattoman tavan rakentaa, testata ja ottaa käyttöön laajojakin sovelluksia ilman mittavia alkuinvestointeja. Organisaatio mak saa palvelusta myös tässä tapauksessa sen käytön mukaan. PaaS-palveluista on saatavilla useita erilaisia versioita riippuen esimerkiksi tarvittavista sovelluskehitysrajapinnoista.
 
Kuva 18. PaaS-palvelussa organisaatio voi ostaa esimerkiksi sovellusrajapinnan, joka sisältää lähes valmiin sovelluksen, jota organisaatio itse hieman räätälöi. Vaihtoehtoisesti organisaatio voi ostaa täydellisen sovelluskehitys- ja tuotantoympäristön uuden palvelun kehittämiseksi ja tuottamiseksi.

 

SaaS – Sofware as a Service
 
Kolmesta osa-alueesta tutuin XaaS-palvelu muoto on SaaS, johtuen jo pitkästä palveluiden ostamiseen liittyvästä historiasta. SaaS eroaa edellä olevasta kahdesta muusta palvelumuodosta siinä, että organisaatio ostaa siinä yleensä valmista palvelua sopimuksen mukaisesti. Tällöin palveluntarjoaja voi toteuttaa palvelun millä tahansa haluamallaan teknisellä ratkaisulla, kunhan se täyttää palvelusopimuksen vaatimukset. Mikäli kyseessä on ns. valmistuote tai palvelu, ostaja voi joutua tyytymään niihin tietoturvaominaisuuksiin, jotka palvelussa ovat saatavilla. Organisaation pitää varmistua siitä, että SaaS-palvelun palvelukuvauksessa ja sopimuksessa olevat ehdot ovat organisaation tietoturvallisuuden kannalta riittävät. Hankittavan palvelun rajoitukset saattavat myös rajoittaa palvelussa käsiteltävien tietoaineistojen sisältöä. On tärkeää, että palvelu täyttää tietoturvallisuudelle asetetut vaatimukset, sillä niiden muuttaminen kesken sopimuskauden vaatii muutoshallintaa, joka voi aiheuttaa merkittäviä lisäkustannuksia. Valtaosa SaaS-palveluista on toteutettu siten, että asiakas joutuu hyväksymään palvelusopimuksen ja -ehdot sellaisenaan, palvelu ei mahdollista mitään asiakaskohtaista räätälöintiä edes tietoturvallisuuden osalta.
 
Kuva 19. SaaS-palvelussa organisaatio ostaa valmiin palvelun, jota toimittaja tuottaa asiakkaalle sopimuksessa määritettyjen ehtojen mukaisesti.
 

 

Esimerkkejä toteutuksista

Kuva 20. vasemman puoleinen esimerkki kuvaa omaa nykyaikaisella virtualisointitekniikalla toteutettua ympäristöä, jossa organisaatio itse hallinnoi ja kontrolloi kokonaisuutta. Oikeanpuoleinen esimerkki kuvaa palvelutoimittajalta hankittua ympäristöä, jossa organisaatio hallinnoi ja ylläpitää ainoastaan palvelutoimittajalla olevia asiakkaan sovelluksia. Haluttaessa tämäkin osuus on mahdollista ulkoistaa palvelutoimittajalle.
 
 

Kuva 21. Käytettäessä jaetun kapasiteetin tai pilvituotantomallin mukaisia palveluita, organisaatio luopuu mahdollisuudesta hallinnoida ja kontrolloida kyseistä toiminnallisuutta ja vastuu siirtyy tällöin enemmän palvelutoimittajalle. Mitä enemmän kontrolli siirtyy toimittajalle, sitä tärkeämmäksi nousevat ne prosessit, menetelmät ja raportit, joilla organisaatio voi valvoa palvelussa käsiteltävien tietoaineistojen käsittelyä  sopimusten ja tietoturvatasovaatimusten mukaisesti.

4.4.3 Palveluiden tuotantomalli

ICT-palveluita voidaan tuottaa usealla erilaisella tuotantomallilla. Kuten edellä on todettu, entistä enemmän palvelutuotantoa ollaan siirtämässä itse tuotetusta palvelusta ulkoistetuksi palveluksi, joka voi myös sijaita valtionhallinnon tietohallintopalveluita tuottavassa palvelukeskuksessa.

Käytettävissä olevat tuotantomallit jakaantuvat seuraaviin yhdeksään päävaihtoehtoon:
  1. Dedikoitu ympäristö – organisaation itse tuottama palvelu
  2. Dedikoitu ympäristö – valtionhallinnon palvelukeskuksen tuottama käyttöpalvelu
  3. Dedikoitu ympäristö – toimittajan ylläpitämä ympäristö – palvelu tuotetaan Suomesta
  4. Dedikoitu ympäristö – toimittajan ylläpitämä ympäristö – palvelun tuottamiseen liittyvistä henkilöistä on mahdollista tehdä turvallisuusselvitys
  5. Valtionhallinnon palvelukeskuksen tuottama jaettu kapasiteetti usealle eri valtionhallinnon asiakkaalle – palvelu tuotetaan Suomesta
  6. Toimittajan tuottama jaettu kapasiteetti usealle eri valtionhallinnon asiakkaalle – palvelu tuotetaan kokonaisuudessaan Suomesta
  7. Toimittajan tuottama jaettu kapasiteetti usealle eri asiakkaalle (tuntemattomia) – palvelu tuotetaan kokonaisuudessaan Suomesta
  8. Toimittajan tuottama jaettu kapasiteetti usealle eri asiakkaalle (tuntemattomia) – palvelun tuottamiseen liittyvistä henkilöistä on mahdollista tehdä turvallisuusselvitys
  9. Toimittajan tuottama jaettu kapasiteetti usealle eri asiakkaalle (tuntemattomia) – palvelua voidaan tuottaa mistä tahansa, palvelun tuottamiseen liittyviä henkilöitä ei ole mahdollista nimetä, palvelua ei voi auditoida.
Kuva 22. Liitteessä 6 on kuvattu nämä yhdeksän eri tuotantomallia ja nostettu esille käyttötapauksia, joissa niiden soveltuvuutta palveluiden tuottamiseen tulee arvioida. Näiden ohella löytyy hybridimalleja, joissa organisaatiossa on käytössä useampia eri malleja yhdistettynä.

 

 

1. Dedikoitu ympäristö - organisaation itse tuottama palvelu

 
Tässä mallissa organisaatio ylläpitää itse palveluiden tuottamiseen liittyvää konesalia, palvelimia, tietojärjestelmiä sekä tarvittavia tietoliikenneyhteyksiä ja -verkkoja. Sitä mukaa kun organisaatio siirtyy käyttämään valtionhallinnon yhteisiä ICT-palveluita, niin organisaation itse tuottamien perustietotekniikkapalveluiden määrä ja niihin liittyvä ylläpitotyö tulee vähenemään. Tulevaisuudessa valtaosa käyttöpalveluista tullaan toteuttamaan valtionhallinnossa keskitetysti, mikä mahdollistaa useita tietoturvallisuuden hallintaan liittyviä parannuksia (mm. keskittämisen yleiset edut kuten keskitetty valvonta, raportointi).
 
Edut:
+  periaatteessa organisaatio itse tietää tarkalleen miten sen palveluita tuotetaan
+  (teoriassa) mahdollisuudet nopeisiin muutoksiin, mikäli organisaatiolla on hyvin toteutettu laitteiden hankintamalli ja välivarastointi
 
Huomioitavia seikkoja:
  • edellyttää säännöllistä koko ympäristön päivittämistä ja merkittäviä investointeja
    • ICT-laitteiden lisäksi kaikki muu palvelintiloissa tarvittava LVIS-, kulunvalvonta- ja muu teknologia
    • edellyttää entistä  vaativampaa  teknistä  osaamista  (myös  tietoturvallisuuden osalta)
    • yksittäinen asiantuntija ei pysty enää hallitsemaan kattavasti niin laajaa kokonaisuutta kuin aiemmin
  • voi aiheuttaa merkittäviä lisäkustannuksia, jos organisaation ICT-palveluiden tärkeyden kasvaessa tarvitaan ympärivuorokautista päivystystä tai varallaoloa
  • nopea ja kustannustehokas skaalautuminen kapasiteetin noston jälkeen alaspäin ei ole tyypillisesti mahdollista tehtyjen laiteinvestointien jälkeen
  • huono energiatehokkuus, koska palvelimia tyypillisesti vain kymmeniä tai enintään satoja
 

2. Dedikoitu ympäristö – valtionhallinnon palvelukeskuksen tuottama käyttöpalvelu

 
Kuten edellä on todettu, valtionhallinnossa tullaan tulevaisuudessa keskittämään perus- tietotekniikkaan liittyviä palvelimia valtionhallinnon keskitettyyn perustietotekniikka- palveluun.
 
Eräs vaihtoehto tällöin on se, että organisaatio voi ulkoistaa myös omat ydintoiminnan tietojärjestelmien palvelimet valtionhallinnon yhteiseen käyttöpalveluun, jossa sen tarvitsemaa ICT-palvelua voidaan tuottaa kustannustehokkaasti perus-, korotetulla tai korkealla tietoturvatasolla. Tällöin palvelinympäristön tekninen tuotantovastuu siirtyy käyttöpalvelua tarjoavalle valtionhallinnon palvelukeskukselle, mutta organisaatio toimii edelleen tietojärjestelmien omistajana vastaten itse niiden sisällöllisestä ylläpidosta ja kehittämisestä sekä tietosisällöstä kuten itse palvelua tuottaessaan.
 
Dedikoitu ympäristö voi tarkoittaa erillispalvelimilla toteutettua tai virtualisoidulla palvelinratkaisulla toteutettua ratkaisua. Dedikoitu ympäristö ei kuitenkaan välttämättä tarkoita sitä, että kaikki mahdolliset palvelukomponentit on tarkoitettu ainoastaan organisaation käyttöön. Tyypillisiä toimittajan useamman asiakkaan kesken jakamia palveluita ovat esimerkiksi Internet-tietoliikenneyhteys ja sen suojana toimivat palomuuri, IDS/IPS- ja muut tietoturvaratkaisut. Tämän lisäksi useimmilla toimittajilla palvelutuotantoon liittyvät tiketöinti-/toiminnanohjausjärjestelmät on toteutettu siten, että palvelutuotantoon liittyvät tiketit saattavat olla nähtävissä toimittajan koko tukiorganisaatiolle. Muita jaettuja palvelukomponentteja saattavat olla varmistusratkaisut (levy, nauhajärjestelmät), valvonta- ja hälytysjärjestelmät, haittaohjelmien torjuntajärjestelmään, tietoturvapäivityksiin ja sovellusten jakeluun ja inventointiin tarkoitetut järjestelmät sekä palvelimien etähallintaan tarkoitetut ratkaisut (hallintatyöasemat ja -palvelimet).
 
Tämä kuvaa hyvin sitä monimutkaista tuotantoympäristöä, jota edellytetään nykyaikaisten ICT-palveluiden tuottamisessa. Tämä johtaa myös siihen, että palveluiden tuotantokustannukset saattavat nousta merkittävästi palvelun tietoturva- ja ICT-varautumisen tason sekä muiden tietoturvallisuuteen liittyvien vaatimusten muuttuessa ja kasvaessa.
 
Edut:
+  palvelinympäristön ylläpidosta ja investoinneista päästään eroon ml. välilliset kustannukset (palvelintila,
    LVIS-kustannukset, sähkö jne.)
+  organisaation ei tarvitse itse jatkossa investoida teknologiaan ja ylläpitää siihen liittyvää osaamista
+  organisaation ei tarvitse kehittää palvelua tietoturvallisuuteen liittyvien teknisten vaatimusten osalta
    pelkästään itse vaan osa työstä voidaan siirtää toimittajalle
+  vastuu palvelun teknisestä tuottamisesta siirtyy toimittajalle
 
Huomioitavia seikkoja:
  • vastuu tietoturvallisuudesta on aina kuitenkin tilaajaorganisaatiolla
  • edellyttää toimintaprosesseista sopimista organisaation ja palvelua tuottavan toimittajan välillä
    • tietoturvallisuutta, kuten muuta toimintaa koskevilla muutoksilla on yleensä aina hintoja korottava vaikutus, joka pitää pystyä ennakoimaan organisaation budjetoinnissa ennakoivasti
  • muutokset ympäristöön eivät ole välttämättä yhtä nopeasti toteutettavissa kuin itse tuotetussa palvelussa
  • palvelukokonaisuuteen liittyy toimittajan kanssa sovittu palvelutaso, jonka mukaista palvelua asiakas tulee saamaan, joten sen valitsemisessa tulee olla huolellinen
  • palvelussa edellytettävien vaatimusten sekä sopimuksen merkitys korostuu

 

3. Dedikoitu ympäristö - toimittajan ylläpitämä ympäristö – palvelu tuotetaan Suomesta

 

Organisaatio voi ulkoistaa laitteensa tai ostaa osan tai kaiken palveluidensa tarvitseman infrastruktuurin toimittajalta organisaatiolle dedikoituna palveluna. Palvelu voi koostua joko perinteisesti erillispalvelimista ja niihin liittyvistä teknisistä ratkaisuista tai organisaatiolle dedikoidusta virtuaalipalvelinympäristöstä. Palvelinmäärän kasvaessa on suositeltavaa hankkia ratkaisu dedikoituna virtualisoituna kokonaisuutena. Virtualisoidussa ympäristössä tulee huomata sen asettamat lisähaasteet tietoturvavaatimuksille.

Virtualisoitujen palvelimien ohella erityistä huomiota tulee kiinnittää kokonaisuuden hallintaan. Koska yksittäinen palvelinympäristö voi koostua kymmenistä, jopa sadoista virtualisoiduista palvelimista, tämän kokonaisuuden tietoturvallisuudelle keskeisen uhan muodostavat sen hallintaan liittyvät prosessit ja henkilöt. Tietoturvavaatimuksissa ja auditoinneissa huomioitavia asioita ovat mm. virtuaaliympäristön hallintaan osallistuvien henkilöiden tarkka roolitus sekä virtuaalipalvelinten kattava elinkaaren hallinta, joka sisältää yksityiskohtaisen lokituksen siitä, mitä ylläpitotoimintoja virtuaalipalvelimille niiden elinkaaren eri vaiheissa on tehty. Lisäksi pitää huolehtia ympäristön kapasiteetinhallinnasta ja saatavuudesta, esimerkiksi vikasietoisuutta voidaan parantaa kahdentamalla tai muuten skaalaamalla koko virtuaalipalvelinympäristö.
 
Virtuaalipalvelinympäristön fyysisten palvelimien (isäntäkoneet, niiden käyttöjärjestelmät, varusohjelmat jne.) ohjelmistojen tietoturva- ja muiden päivitysten toteuttaminen on myös kriittistä tietoturvallisuudelle ja edellyttää toimivaa muutoshallintaprosessia.
 
Korotetun tietoturvatason ympäristöissä tulee tarkkaan selvittää, voiko samassa ympäristössä toimia myös perustietoturvatason ympäristöjä ilman, että ne vaarantavat korotetun tason palvelulta vaadittavan tietoturvatason.
 
Edut:
+  kuten edellisessä kohdassa
 
Huomioitavia seikkoja:
  • kuten edellisessä kohdassa
  • lisäksi tulee huomioida toimittajan kilpailuttamisessa ja valinnassa tarvittavat tietoturvavaatimukset
    • esimerkiksi mistä palvelua voidaan tuottaa?
  • ulkoistava organisaatio saattaa menettää oikeuden käsitellä lokitietoa tietoturva- poikkeaman selvittämiseksi. Ellei muuta sovita, palveluntarjoaja laskuttaa lokitiedon käsittelystä
  • uuden pakkokeinolain voimaantullessa ei ulkoistavalla organisaatiolla, ulkoistetun palvelun tarjoajalla eikä esitutkintaviranomaisella ole lähtökohtaisesti oikeutta selvittää lokitiedoista ulkoistetun palveluntarjoajan työntekijän tekemää salassa pidettävän viranomaistiedon päätymistä oikeudettomasti ulkopuolisille
 

4. Dedikoitu ympäristö - toimittajan ylläpitämä ympäristö – palvelun tuottamiseen liittyvistä henkilöistä on mahdollista tehdä turvallisuusselvitys

 
Yhä useampi toimittaja tarjoaa asiakkailleen aikaisempaa kustannustehokkaamman tavan hankkia dedikoituja ICT-palveluita siten, että osa niiden tuottamiseen tehtävästä työstä suoritetaan Suomen ulkopuolelta (ns. nearshore). Kustannustasoa voidaan laskea ulkomaisen henkilöstön halvempien työ- ja muiden kustannusten takia, etenkin tehtäessä kolmessa vuorossa toteutettavia hallinta-, valvonta- ja ylläpitotehtäviä.
 
Tällaista toimintamallia harkittaessa huomiota tulee kiinnittää seuraaviin asioihin:
  • missä palveluiden tuottamiseen tarvittavat laitteet sijaitsevat (palvelimet, levyjärjestelmät, palomuurit, varmistuslaitteet, varmistusmediat jne.).
  • miten tietoliikenne Suomen ulkopuolelta Suomeen on toteutettu (mm. salaus ja vikasietoisuus) ja miten tuotanto voidaan varmistaa kansainvälisten tietoliikenneyhteyksien ollessa poikki tai vakavasti häiriintyneenä.
  • missä palveluissa käsiteltävä tieto sijaitsee (Suomessa vai Suomen ulkopuolella).
  • henkilötietoja ei saa siirtää ETA-alueen ulkopuolelle prosessia tarkastamatta.
  • suomalaisten viranomaisten toimivalta ei ulotu Suomen rajojen ulkopuolelle.
  • mikäli palvelu sisältää salassa pidettävää tietoa, palvelun tuottamiseen käytettävät henkilöt pitää pystyä nimeämään sekä tarvittaessa tekemään heistä turvallisuusselvitys. Jos kyseessä ei ole Suomen kansalainen, täytyy prosessi toteuttaa tekemällä henkilöstölle kyseisen maan kansallisen tietoturvaviranomaisen prosessin mukainen Personal Security Clearance (PSC) sekä toimittajalle Facility Security Clearance -selvitys (FSC). Näiden selvitysten toteuttaminen onnistuu vain niissä maissa, joiden kanssa Suomi on tehnyt tarvittavat sopimukset.
  • kyseisen maan lainsäädäntöön liittyvät riskit. Onko esimerkiksi mahdollista, että kyseisen maan lainsäädäntö mahdollistaa laitteiden tai koko palvelun tuottamiseen liittyvän ympäristön takavarikoimisen, ja missä tilanteissa?
  • muut tietoliikenteeseen liittyvät riskit kun palvelun hallintayhteys tai muu tietoliikenne kulkee Suomen rajojen ulkopuolella sellaisten maiden kautta, joiden tiedetään valvovan tietoliikenneyhteyksiä.
Edut:
+ hintataso saattaa olla edullisempi sellaisissa palveluissa ja tehtävissä, jotka edellyttävät merkittävän määrän henkilötyötä, erityisesti ympärivuorokautisessa toiminnassa
 
Huomioitavia seikkoja:
  • mitä tärkeämpää tietoaineistojen luottamuksellisuus on palvelun tuottamisessa, sitä tärkeämpää on selvittää, miten ratkaisu voidaan toteuttaa
  • ICT-varautumisen osalta tulee huolehtia tarvittavista varajärjestelyistä, jos tietoliikenneyhteyksissä on ongelmia

 

5. Valtionhallinnon palvelukeskuksen tuottama jaettu kapasiteetti usealle eri valtionhallinnon asiakkaalle – palvelu tuotetaan Suomesta

 

Eräs mahdollisuus yhdistää palvelinvirtualisoinnin ja muiden uusien teknologioiden tuoma hyöty on toteuttaa jaettua kapasiteettia valtionhallinnon omien palvelukeskusten tarjoamana palveluna (eräänlainen private cloud, yksityinen pilvi. Tällöin sen tuottamisesta vastaavat virkamiehet tai sellaiset ulkopuoliset palvelun tuottajat, jotka voivat tarvittaessa täyttää myös korotetun ja korkean tason palvelulle asetetut vaatimukset.
 
Edut:
+  kuten kohdissa kaksi ja kolme
+  useamman eri organisaation kesken toteutetun jaetun kapasiteetin palvelutuotannon tuomat kustannussäästöt
 
Huomioitavia seikkoja:
  • haasteet etenkin ympärivuorokautisten palveluiden tuottamisessa
    • aito ympärivuorokautinen kolmessa vuorossa toteutettava työ edellyttää yleensä vähintään 15 htv:n resurssointia
    • organisaation tulee varautua kompromisseihin, kaikkia organisaation toiveita ei ole yleensä mahdollista täyttää tai niillä on niin merkittävä kustannusvaikutus, että se ei ole tarkoituksenmukaista
    • esimerkiksi organisaation vaatimuksen täyttäminen edellyttäisi oman palveluinstanssin tai erillispalvelimen toteuttamista, joka saattaa aiheuttaa merkittäviä lisenssikustannuksia, jotka tulevat pelkästään yhden organisaation vastuulle
 

6. Toimittajan tuottama jaettu kapasiteetti usealle eri valtionhallinnon asiakkaalle – palvelu tuotetaan kokonaisuudessaan Suomesta

 
Mikäli toimittaja haluaa parantaa palvelun kustannustehokkuutta ja pienentää sen kustannuksia, se voi rakentaa ja tarjota samaa virtualisoitua palvelinympäristöä useammalle valtionhallinnon asiakkaalle, jotka edellyttävät saman perus tai korotetun tietoturvatason täyttymistä. Tämän vaihtoehdon keskeinen ero on se, että edellisessä vaihtoehdossa palvelun tuottamisesta vastaavat virkamiehet, tässä siitä vastaa kaupallisen toimittajan henkilöstö.
 
Edut:
+  kuten kohdassa kolme
 
Huomioitavia seikkoja:
  • edellyttää yhteistyötä muiden jaettua kapasiteettia käyttävien organisaatioiden kanssa ja sopimista esimerkiksi auditoinneista, lokitietojen käsittelystä ja muista palvelun seurantaan liittyvistä seikoista
  • edellyttää tiedon omistajan hyväksyntää tekniselle ratkaisulle
 

7. Toimittajan tuottama jaettu kapasiteetti usealle eri asiakkaalle (tuntemattomia) – palvelu tuotetaan kokonaisuudessa Suomesta

 
Tätä tuotantomallia käytetään ennen kaikkea useissa SaaS-palveluissa, joissa organisaatio ostaa toimittajalta palvelun, jota käyttää useampi muu toimittajan asiakas. Mallia voidaan käyttää myös virtualisoidun, jaetulla kapasiteetilla toteutetun palvelinkapasiteetin tuottamiseen.
 
Tuotantomalli vastaa edellisessä kohdassa kuvattua, mutta erona on se, että samassa virtualisoidussa ympäristössä on myös muiden tuntemattomien asiakkaiden järjestelmiä. Tämä asettaa rajoituksia esimerkiksi palveluiden auditoinnille ja voi vaatia kompromisseja tietoturvavaatimuksissa. On mahdollista, että kaikki samassa virtualisoidussa ympäristössä toimivat organisaatiot eivät halua tai voi noudattaa samoja tietoturvavaatimuksia, jolloin niistä joudutaan tinkimään. Lähtökohtaisesti ilman erillistä riskienarviointia näin toteutettu palvelu soveltuu lähinnä ST IV -tietoaineistojen käsittelyyn täyttäen vain perus-tietoturvatasolta edellytettävät vaatimukset.
 
Edut:
+  kuten kohdassa kaksi
 
Huomioitavia seikkoja:
  • organisaation saattaa olla mahdotonta vaikuttaa hankittavan palvelun sopimukseen tai tietoturvallisuuden toteutumiseen palvelua käytettäessä, esimerkiksi
    • palvelun auditointi saattaa olla mahdotonta tai tulee sopia etukäteen
    • lokitietojen käsittely tulee sopia myös etukäteen
 

8. Toimittajan tuottama jaettu kapasiteetti usealle eri asiakkaalle (tuntemattomia) - palvelun tuottamiseen liittyvistä henkilöistä on mahdollista tehdä turvallisuusselvitys

 
Tuotantomalli on sama kuin edellisessä kohdassa, mutta palvelua tuotetaan ainakin osittain Suomen ulkopuolelta. Tällöin on huomioitava edellisessä kohdassa kuvatut asiat ja lisäksi kohdassa neljä esille nostetut seikat. Tuotantohenkilöstöstä, muuten salassa pidettäviin tietoaineistoihin pääsevistä tai muuten palvelun tietoturvallisuuden mahdollisesti vaarantavista henkilöistä on mahdollista laatia turvallisuusselvitys.
 
Edut:
+ mitä suurempi määrä asiakkaita käyttää samaa palvelua, sitä kustannustehokkaam- pi palvelusta saadaan (teoriassa)
 
Huomioitavia seikkoja:
  • edellyttää yhteistyötä muiden jaettua kapasiteettia käyttävien organisaatioiden kanssa ja sopimista esimerkiksi auditoinneista ja muista palvelun seurantaan liittyvistä seikoista;
    • sopiminen ei ole aina mahdollista tai toimittaja ei ole valmis paljastamaan ja sopimaan asiakkaiden kanssa yhteistyössä palvelun tietoturvallisuuteen liittyviä seikkoja
 

9. Toimittajan tuottama jaettu kapasiteetti usealle eri asiakkaalle (tuntemattomia) – palvelua voidaan tuottaa mistä tahansa, palvelun tuottamiseen liittyviä henkilöitä ei ole mahdollista nimetä, organisaatio ei voi auditoida palvelua

 
Viimeisin vaihtoehto kuvaa parhaiten aitoa pilvipalvelua, jota voi esimerkiksi ostaa suoraan internetistä luottokortilla hyväksymällä palvelun tuottamiseen liittyvä toimittajan yksipuoliset sopimusehdot. Tällöin asiakas ei tiedä lainkaan mistä, millä tavalla ja kenen henkilöiden toimesta palvelua tuotetaan.
 
Asiakkaalla ei ole myöskään mahdollisuutta suorittaa minkäänlaisia auditointeja palveluun. Tyypillisesti tällaisia, myös valtionhallinnossa käytettäviä palveluita ovat useat tunnetut sosiaalisen median palvelut kuten Facebook, Twitter sekä Microsoftin, Googlen ja Applen tuottamat sähköposti-, kalenteri- ja pilvitallennuspalvelut. Lisätietoa sosiaalisen median tietoturvallisuuteen liittyvistä haasteista ja hyvistä käytännöistä löytyy ohjeesta Sosiaalisen median tietoturvaohje, VAHTI 4/2010, sivu 25 ”Tietoturvallisuuden toteuttaminen palveluita käytettäessä”. Tällaisia palveluita on mahdollista valtionhallinnossa kuitenkin käyttää, kun ymmärretään palvelun tuottamiseen liittyvät riskit sekä palveluun tallennetaan julkisia tietoaineistoja.
 
Kaikissa Suomen ulkopuolella tapahtuvassa tietojenkäsittelyssä tulee huomioida Tietosuojavaltuutetun ohje Henkilötietojen siirto ulkomaille henkilötietolain mukaan (http://www.tietosuoja.fi/uploads/7nr20lwabx4vu.pdf).

4.5 Esimerkkejä palveluiden luokittelusta

Tietoturvallisuusasetuksen sekä VAHTI 2/2010 -ohjeen mukaisesti organisaation tulee määrittää suojattavissa kohteissa edellytettävä tietoturvataso. Kuten luvussa 3 ”Suojattavien kohteiden rajaaminen” kerrotaan, keskeisenä haasteena on miten kustannustehokkaasti, mutta kuitenkin tietoturvatasovaatimukset täyttäen organisaation kannattaa ICT-järjestelmien edellyttämät tukipalvelut ja ICT-järjestelmät toteuttaa. Tässä luvussa on kolme esimerkkiä siitä, mitä asioita eri tietoturvatasoille sijoittuvien palveluiden tuottamisessa tulee huomioida.

4.5.1 Esimerkki perustason tietoturvavaatimukset täyttävästä ympäristöstä -organisaation julkinen www-palvelin

Lähes jokaisella valtionhallinnon organisaatiolla on oma julkinen www-palvelu, osalla se saattaa toimia myös ns. extranet-tyyppisenä, myös asiakkaille ja sidosryhmille tarjottuna palveluna, joillakin organisaatioilla sama palvelu saattaa toimia myös organisaation sisäisenä intranetinä. Tässä esimerkissä on kyse pelkästään organisaation perustiedot tarjoavasta ulkoisesta www-palvelusta, jonka tietosisältö on julkista. Alla kuvataan miten palvelulta edellytettävät tietoturvataso ja ICT-varautumisen taso voidaan selvittää ja mitä sen jälkeen tulisi tehdä.

 

1. Järjestelmän omistaja määrittelee yhdessä organisaation ICT- ja tietoturva-asiantuntijoiden kanssa järjestelmän tärkeysluokituksen, jonka perusteella saadaan selville edellytettävät tietoturvataso sekä ICT-varautumisen taso sekä tärkeysluokka. Tämä tapahtuu liitteen 5.4 tärkeysjärjestys-työvälineellä. Esimerkissämme saamme seuraavan tuloksen:
 
Kuva 23. Tärkeysjärjestys-työväline osoittaa, että esimerkkijärjestelmämme edellyttää tietoturvallisuuden ja ICT-varautumisen osalta perustason täyttämistä. Järjestelmän tärkeydeksi luokitellaan ”jonkin verran merkitystä”.
 

 

2. Tämän jälkeen järjestelmän omistajan tulee toteuttaa suojattavaan kohteeseen riskien arviointi, jonka pohjalta jatkossa aletaan myös säännöllisesti seuraamaan järjestelmään liittyviä riskejä osana palvelun tietoturvallisuuden vuosikelloa. Riskien arvioinnin perusteella laaditaan toimenpidesuunnitelma suurimpien riskien hallitsemiseksi.
 
3. Järjestelmän nykyinen tietoturvataso arvioidaan käyttäen vaatimus-Excel-työvälinettä. Jos järjestelmän tiedetään pysyvän perustasolla, itsearviointi voidaan suorittaa perustasoa vastaan. Jos on olemassa aihetta epäillä, että järjestelmän tietoturvataso saattaa tulevaisuudessa nousta korotetulle tasolle, itsearviointi kannattaa tehdä korotettua tasoa vastaan. Erityisesti arvioitaessa korotetun tai korkean tason edellyttämää palvelua, voit käyttää tämän ohjeen mukana tulevia liitteitä 5.2 ja 5.3 yksityiskohtaisempien tieto- turvatasovaatimusten sisällön arvioimiseksi.
 
4. Itsearvioinnin perusteella tulee laatia kehittämissuunnitelma niiden tietoturvatasojen vaatimusten osalta, jotka eivät vielä täyty, tässä tapauksessa perustason osalta. Kuten myös riskienhallinnassa, näille toimenpiteille tulee laatia toimenpidesuunnitelma (aikataulu, vastuuhenkilö, tekijät, kustannukset, tarkistuspisteet, hyväksyminen), jonka mukaisesti perustasosta havaitut poikkeamat korjataan.
 
5. Mikäli organisaation kaikki keskeiset palvelut tuotetaan samanlaisella joko organisaation sisäisellä tuotantomallilla tai ostetaan palvelutoimittajalta vakioidulla tuotanto- mallilla, voidaan nyt tehtyä itsearviointia hyödyntää suoraan seuraavissa arvioinneissa. Tästä syystä ICT-palveluiden tuotantomallien tulisi olla mahdollisimman vakioituja, jotta niiden kehittyessä täyttämään esimerkiksi tietoturvatasojen perus- tai korotetun tason, saavutettu parannus saadaan hyödynnettyä välittömästi kaikissa samaa tuotantomallia hyödyntävissä palveluissa.
 
6. Kuten muun tietoturvallisuuden kehittäminen, tietojärjestelmän osalta tulee noudattaa PDCA-kehitysmallia (Plan – Do – Check – Act), joka voi olla myös osa palvelun tietoturvallisuuden vuosikelloa.
 
Kuva 24. Koska julkinen www-palvelin sijoittuu tietoturvatasojen osalta perustasolle, riittää perustietoturvatason saavuttaminen myös muissa palvelun tuottamiseen liittyvissä prosesseissa sekä tuki- ja infrastruktuuripalveluissa.
 

 

4.5.2 Esimerkki korotetun tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä– organisaation ydintoimintaa tukeva järjestelmä 1/2

Toisessa esimerkissä organisaatiolla on sen toimintaan liittyvä ydintietojärjestelmä, joka sijoittuu korotetulle tietoturvatasolle. Järjestelmän tärkeysluokitus määrittää järjestelmälle seuraavat tiedot:

Kuva 25. Järjestelmän tietoturva- ja ICT-varautumisen taso ovat korotettuja ja järjestelmän tärkeydeksi tulee tärkeä.Tällöin myös kaikkien järjestelmän tuottamiseen liittyvien prosessien ja tukijärjestelmien pitää sijoittua korotetulle tietoturvatasolle.

 

Jos organisaatiolla on yksi tai useampia korotetulle tietoturvatasolle sijoittuvia suojattavia kohteita /tietojärjestelmiä, nousee esille kysymys siitä, miten sen tuottamiseen liittyvät muut prosessit ja tukijärjestelmät kannattaa tuottaa. Tämän takia organisaation olisi syytä käydä läpi kaikki organisaation suojattavat kohteet ja vasta sen jälkeen tehdä päätös siitä, miten prosessien ja tukijärjestelmien tuottaminen eri tietoturvatasojen vaatimukset täyttäväksi tulee toteuttaa.
 
Mikäli päätös tehdään vain muutaman yksittäisen suojattavan kohteen perusteella, saattaa se aiheuttaa ylimääräisiä kustannuksia joko siksi, että prosessit ja tukijärjestelmät rakennetaan liian korkealle tasolle (korkea tietoturvataso) tai siksi, että ne mitoitetaan liian matalalle tasolle (perustaso), kun niiden pitäisi sijoittua korotetulle tasolle.
 
Kannattaa kuitenkin huomioida, että koska uusittu neliportainen luokittelukäytäntö tuli Suomen lainsäädäntöön vasta hiljattain, useat valtionhallinnon järjestelmät ovat vielä nykytilassa luokiteltu vanhan lainsäädännön mukaisesti, nykylainsäädännön asteikolla pääsääntöisesti tarpeettoman korkealle tasolle.
 
Eräs rajauskeino on toteuttaa kaksi erillistä teknistä ympäristöä; ns. peruskäyttöön tarkoitettu toimistoverkko ST IV -tietoaineistoille sekä rajoitettuun käyttöön ja käyttäjille suunnattu tietojenkäsittely-ympäristö ST III -tietoaineistojen käsittelyyn. Tällöin osa yhteisistä prosesseista ja tukijärjestelmistä kannattaa rakentaa samalla mallilla sekä perus- että korotetulla tasolla toteutettavaksi, etenkin jos se ei aiheuta merkittävää lisäkustannusta. Yhteisissä tukijärjestelmissä ja prosesseissa tulee kuitenkin varmistua siitä, että korkeamman tason tietoaineisto ei pääse vuotamaan yhteisten tukijärjestelmien ja prosessien kautta matalamman tason käsittely-ympäristöön. Tässä yhteydessä tulee muistaa, että organisaatiolla on käytettävissä viiden vuoden ylimenokausi tarvittavien prosessien ja palveluiden saattamiseksi korotetulle tietoturvatasolle. Siirtymäaika alkaa siitä, kun organisaation johto on tehnyt tietoaineistojen luokituspäätöksen.
 
Kuva 26 .Organisaation ydintietojärjestelmä sijoittuu tietoturvatasojen osalta korotetulle tasolle, jolloin palvelun tuottamiseen liittyvien muiden prosessien sekä tuki- ja infrastruktuuripalveluiden pitää myös saavuttaa korotettu tietoturvataso.
 

 

 

4.5.3 Esimerkki korkean tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä – organisaation ydintoimintaa tukeva järjestelmä 2/2

Toisessa esimerkissä organisaatiolla on käytössä ydintietojärjestelmä, jossa käsitellään ST III -luokituksen omaavia tietoaineistoja, mutta tärkeysjärjestys ja riskianalyysi ovat osoittaneet, että se edellyttää korkean tietoturvatason saavuttamista.
 
Kuva 27. Organisaation ydintietojärjestelmä sijoittuu korkealle tietoturvatasolle ja korotetulle ICT-varautumisen tasolle. Järjestelmän tärkeysluokitukseksi muodostuu tärkeä.
 

 

Mikäli järjestelmä sijoittuu korkealle tietoturvatasolle, organisaation kannattaa selvittää, voiko se itse kustannustehokkaasti tuottaa tällaisia yksittäisiä korkean tietoturvatason palveluita vai kannattaisiko sen ulkoistaa nämä sellaiselle toimittajalle, joka pystyy toteuttamaan ne mahdollisesti kustannustehokkaammin. Jos organisaatio toteuttaa palvelun itse, se joutuu pelkästään yhtä tai muutamaa järjestelmää varten luomaan korkean tietoturvatason edellyttämät uudet prosessit sekä muut tuki- ja infrastruktuuripalvelut. Tällaisten palveluiden osalta kannattaa myös neuvotella oman hallinnonalan tai muiden vastaavanlaista palvelua tarvitsevien valtionhallinnon organisaatioiden kanssa mahdollista yhteistyöstä.

Kannattaa kuitenkin huomioida, että erityisesti turvallisuusluokitellun tiedon suojaamisessa korostuu tiedon luottamuksellisuuden suojaaminen, ja luottamuksellisuuden suojaamiselle asetettavat vaatimukset riippuvat yleensä suoraan tiedon suojaustasosta. Vaikka tässä esimerkissä järjestelmän tärkeysluokka on järjestelmään kohdistuvista käytettävyys- tai muista vaatimuksista johtuen korkeampi kuin järjestelmässä käsiteltävän tiedon suojaustasoluokka, edellytettävät luottamuksellisuuteen kohdistuvat suojausmenetelmät eivät kuitenkaan ole tiedon suojaustasoluokkaa korkeampia. Poikkeuksena tilanteet, joissa tiedon kasautumisvaikutus nostaa järjestelmän suojaustasoluokkaa. Kasautumisvaikutuksen seurauksia tiedon suojaamistarpeelle on kuvattu yksityiskohtaisemmin KATAKRI:ssa (ks. erityisesti I 401.0).
 
Kuva 28. Organisaation ydintietojärjestelmä sijoittuu tietoturvatasojen osalta korkealle tasolle, jolloin palvelun tuottamiseen liittyvien muiden prosessien sekä tuki- ja infrastruktuuripalveluiden pitää myös saavuttaa korkea tietoturvataso. Mikäli tällainen tietojärjestelmä on käytössä koko organisaatiossa, saattaa se aiheuttaa merkittäviä lisäkustannuksia, koska tällöin kaikki keskeiset organisaation prosessit ja tukipalvelut tulee toimia myös korkealla tietoturvatasolla ja myös käytettävän työasemaratkaisun tulee täyttää korkean tietoturvatason vaatimukset.

 


Kuva 29. Mikäli organisaatiossa on tarve yksittäisille, korotettua tai korkeaa tasoa edellyttävälle suojattavalle kohteelle, se voidaan toteuttaa siten, että organisaation muu toiminta säilyy esimerkiksi perustasolla.

 

 

4.5.4 Esimerkki korkean tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä – erillisverkkoratkaisu

Mikäli organisaatiossa joudutaan käsittelemään suojaustasojen II tai I-mukaisia tietoaineistoja, saattaa se edellyttää joko osittain (ST II) tai kokonaan (ST I) muusta organisaation tietotekniikkaympäristöstä eristettyä tietojenkäsittely-ympäristöä. Tietoturvallisuus-asetuksessa todetaan:
 
16 § Sähköisen asiakirjan laatiminen, tallettaminen ja muokkaaminen
Valtionhallinnon viranomainen voi sallia, että suojaustasoon I tai II kuuluva asiakirja talletetaan sähköisesti tietovälineelle tai muulle laitteelle, joka:
  1. ei ole liitetty tietoverkkoon, jos asiakirja talletetaan vahvasti salattuna tai jos se on muutoin vahvasti suojattu; tai
  2. on liitetty vain sellaiseen viranomaisen tietoverkkoon, joka yhdistää asiakirjan tallettamiseen ja säilyttämiseen käytetyn laitteen samassa viranomaisen hallinnassa olevassa erityisvalvotussa tilassa oleviin muihin laitteisiin, jos laitteet yhdistävään tietoverkkoon ei ole luotu yhteyttä muista tietoverkoista ja asiakirjan käsittely on muutoin vahvasti suojattua.” Suojaustasoon I kuuluvaa tietoaineistoa tulee aina käsitellä erillisverkossa, johon ei ole yhteyttä muista tietoverkoista. Vaikka edellä kiellettiin suojaustasoon II kuuluvien tietoaineistojen käsittely muualla kuin erillisverkoissa, edellisen pykälän seuraava kohta tuo lisämahdollisuuden:
Valtionhallinnon viranomainen voi sallia, että suojaustasoon II kuuluva asiakirja talletetaan sähköisesti viranomaisen sellaiseen tietoverkkoon liitetylle tietovälineelle tai muulle laitteelle, jonka käyttö on rajoitettu, jos asiakirja talletetaan vahvasti salattuna tai se on muutoin vahvasti suojattu ja viranomainen on muutoinkin varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tieto- turvallisuustason vaatimukset.”
 
Kuten edellä kappaleessa 4.5.3 todettiin, organisaatio voi toteuttaa ST II -vaatimukset täyttävän tietojenkäsittely-ympäristön, kunhan se täyttää korkean tietoturvatason vaatimukset. Kannattaa kuitenkin huomioida, että vuoden 2010 lopulla voimaan astuneen tietoturva-asetuksen mukaisesti luokiteltuina ST II - ja erityisesti ST I -tasojen käyttötarve on suhteellisen harvinaista, ja ST I -luokittelu saattaa johtua myös virheellisestä luokittelusta. Turvallisuusluokitellun tiedon osalta hyväksyttäviä verkkorakenteita on kuvattu yksityiskohtaisesti KATAKRI:ssa (ks. erityisesti I 401.0).
 

Kuva 30. ST I -tietoaineiston käsittely edellyttää pääsääntöisesti erillisen, korkean tietoturvatason täyttävän tietojenkäsittely-ympäristön toteuttamista.

4.6 ICT-palvelujen kilpailuttamisessa huomioitavaa tietoturvallisuuden osalta

Kun organisaatio alkaa kilpailuttamaan ICT-palvelua tai muuta sellaista ICT-kokonaisuutta, jossa pitää määrittää kohteelta edellytettävät tietoturva- ja jatkuvuusvaatimukset, tulee näiden vaatimusten tuottamisessa olla aikaisempaa huolellisempi. Hankinta-asiakirjoissa tulisi olla tietoturvallisuuden osalta käsiteltynä ainakin seuraavat osa-alueet:

  • hankittavalta palvelulta / tuotteelta edellytettävät tietoturvatasovaatimukset
    • ja mikäli siltä edellytetään kansainvälisten turvallisuusluokiteltujen tietoaineistojen hyväksyttyä käsittelykykyä, myös KATAKRI-auditointikriteereiden käyttämiseen auditoinnissa
    • Valtion IT-palvelukeskuksen työkalupakista on saatavilla tietoturvatasovaatimukset kirjoitettuna sellaiseen muotoon, että ne voidaan sisällyttää vaatimuksiksi hankinta-asiakirjoihin
      • vaatimuksia ei saa käyttää sellaisenaan, vaan ne pitää lukea ja sovittaa tarvittaessa paremmin sopimaan hankittavaan kohteeseen
      • vaatimuksia ei saa kohdistaa toimittajaan, vaan hankittavaan kohteeseen
  • hankittavalta palvelulta / tuotteelta edellytettävät ICT-varautumisen vaatimukset
    • Valtion IT-palvelukeskuksen työkalupakista on saatavilla ICT-varautumisen sen hetkiset vaatimukset kirjoitettuna sellaiseen muotoon, että ne voidaan sisällyttää vaatimuksiksi hankinta-asiakirjoihin
      • vaatimuksia ei saa käyttää sellaisenaan, vaan ne pitää lukea ja sovittaa tarvittaessa paremmin sopimaan hankittavaan kohteeseen
  • yleiset palvelulta edellytettävät tietoturvallisuuteen liittyvät vaatimukset
    • Valtion IT-palvelukeskuksen työkalupakista on saatavilla >50 vaatimuksen lista, johon on koottu keskeisimpiä niitä tietoturvallisuuteen liittyviä vaatimuksia, joita tyypillisessä palveluhankinnassa tulee vaatia
      • mikäli nämä vaatimukset eivät ole osana hankintaa, niiden sopiminen tai lisääminen jälkikäteen voi osoittautua hankalaksi ja/tai kalliiksi
      • nämä vaatimukset pitää olla mukana sopimuksessa siten, että molemmat osa-puolet ovat ne ymmärtäneet ja hyväksyneet
  • palvelun toimintaan liittyvät ns. substanssitietoturvavaatimukset
    • tähän osa-alueeseen kuuluvat ne vaatimukset, jotka kohdistuvat hankittavan palvelulta / tuotteelta edellytettäviin sellaisiin vaatimuksiin, jotka tulevat kyseeseen vain tämän tyyppistä palvelua / tuotetta hankittaessa
      • näitä ei voi yleisesti luetella, vaan ne pitää tuottaa jokaiseen hankintaan aina erikseen
      • kriittisten palveluiden osalta tässä yhteydessä pitää tuoda esille palvelun tuotantoympäristöön ja palvelussa käsiteltäviin tietoihin liittyvät vaatimukset niiden tuottamiseksi ja sijaitsemiseksi Suomessa
      • samoin esimerkiksi palvelun tuotantotapaan liittyvät vaatimukset kuuluvat tä- hän osa-alueeseen, mm. palvelun mahdollinen ylläpito- ja hallinta ulkomailta, jolloin pitää huolehtia siitä, että kansainvälisten tietoliikenneyhteyksien ollessa häiriintyneenä toimittajalla on kyky tuottaa ylläpito- ja hallintapalvelua Suomesta sekä että asiantuntijoilla ja muilla tukipalveluita tuottavilla henkilöillä on tarvittava kielitaito
        • tai mikäli riskienarviointi osoittaa, edellyttää niitä tuotettavaksi pelkästään Suomesta
  • vaatimukset niistä tietoturvallisuuden osa-alueista, jotka pitää olla valmiina ja hyväksyttyinä ennen kuin palvelu / tuote voidaan hyväksyä käyttöönotetuksi ja siirtää se hankevaiheesta jatkuvaan palveluun (tuotantoon)
    • Valtion IT-palvelukeskuksen työkalupakista on saatavilla lista niistä vaatimuksista, joita kannattaa harkita sisällytettäväksi hankinta-asiakirjoihin ja sisällytettäväksi hankinnan käyttöönottovaiheen hyväksymiskriteereiksi tietoturvallisuuden osalta
      • nämä ovat sellaisia vaatimuksia, joiden avulla hankittu palvelu / tuote voidaan siirtää mahdollisimman vaivattomasti jatkuvan palvelun edellyttämään tietoturvallisuuden vuosikelloon / tietoturvallisuuden hallintajärjestelmän piiriin 

Suvi Pietikäinen30.11.2012 / 17:42:58
Tulosta