VAHTI 2/2013 Toimitilojen tietoturvaohje

 

VAHTI 2/2013 Toimitilojen tietoturvaohje

 

VALTIOVARAINMINISTERIÖ
PL 28 (Snellmaninkatu 1 A) 00023 VALTIONEUVOSTO
Puhelin 0295 16001 (vaihde) Internet: www.vm.fi
Taitto: Pirkko Ala-Marttila /VM-julkaisutiimi
 
ISSN 1455-2566 (nid.)
ISBN 978-952-251-460-8 (nid.)
ISSN 1798-0860 (PDF)
ISBN 978-952-251-461-5 (PDF)
Juvenes Print - Suomen Yliopistopaino Oy, 2013

 


Ministeriöille, virastoille ja laitoksille

Toimitilojen tietoturvaohje

Toimitilojen tietoturvaohjeen (VAHTI 2/2013) tarkoituksena on osaltaan tukea tietoturvallisuudesta  valtionhallinnossa  annetun  asetuksen  (681/2010) täytäntöönpanoa.

Ohje antaa suuntaviivoja sekä rakentamissuunnittelulle, että olemassa olevien toimitilojen turvallisuutta parantaville ratkaisuille. Ohje edisää salassa pidettävän tiedon säädösten ja linjausten mukaista käsittelyä ja säilytystä valtionhallinnossa. Ohje vahvistaa osaltaan valtionhallinnon tietoturvallisuuden kehittämisestä annetun valtioneuvoston periaatepäätöksen (26.11.2009) toimeenpanoa ja antaa lisäksi perusteita virastokohtaisten sovellusohjeiden laatimiselle.

Ohje on valmisteltu valtiovarainministeriön asettaman ja johtaman Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) toimeksiannosta ja ohjauksessa. Ohje tukee ja täydentää laajaa olemassa olevaa VAHTI-ohjeistoa. Ohje korvaa Tietoteknisten laitetilojen turvallisuussuosituksen (VAHTI 1/2002).

Ohje auttaa  organisaatioita  ottamaan huomioon  lakisääteiset ja  kansainvälisten turvallisuussäännöstöjen  asettamat  toimitilaturvallisuuden  vaatimukset.   Organisaatioita pyydetään käyttämään ohjetta hyväksi erityisesti toimitilojen  muutostilanteissa.

Lisätietoja antaa tietoturvallisuusasiantuntija Aku Hilve, JulkICT-toiminto.

Hallinto- ja kuntaministeri    Henna Virkkunen
Yksiön päällikkö                  Mikael  Kiviniemi
VAHTin puheenjohtaja

 

Lyhyesti VAHTIsta

Valtiovarainministeriö ohjaa ja yhteen sovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden ja kyberturvallisuuden linjaukset. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.
 
VAHTI:n tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.VAHTI edistää hallitusohjelman ja hallituksen muiden keskeisten linjausten, Yhteiskunnan turvallisuusstrategian (YTS), Julkisen hallinnon ICT-strategian, Suomen kyberturvallisuusstrategian, valtioneuvoston huoltovarmuuspäätöksen sekä valtioneuvoston periaatepäätöksen valtion tietoturvallisuuden kehittämisestä toimeenpanoa kehittämällä valtion tietoturvallisuutta ja siihen liittyvää yhteistyötä.Valtioneuvosto teki 26.11.2009 periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä.

Periaatepäätös korostaa VAHTI:n asemaa ja tehtäviä hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elimenä. Periaatepäätöksen mukaisesti hallinnonalat kohdistavat varoja ja resursseja tietoturvallisuuden kehittämiseen ja VAHTI:ssa koordinoitavaan yhteistyöhön.
VAHTI toimii hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta vastaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä sekä edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä.VAHTI:n toiminnalla parannetaan valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on kansainvälisestikin verrattuna merkittäväksi katsottava yleinen tietoturvaohjeisto (www.vm.fi/vahti).

Tiivistelmä

Valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010) edellytetään jo perustason tietoturvallisuutta toteutettaessa, että asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja (TTA 5 §). Asetus edellyttää lisäksi korotetun ja korkean tason käsittely-ympäristöiltä erillisiä suojaustoimia. Tämän VAHTI-ohjeen näkökulmana on kyseisten vaatimusten toimeenpanon tukeminen valtionhallinnossa.
 
Alati lisääntyvä kansainvälinen yhteistyö tuo mukanaan vaatimuksen ottaa huomioon kansainvälisten yhteistyökumppaneiden – olivatpa nämä sitten itsenäisiä oikeusvaltioita tai kansainvälisiä organisaatioita – turvallisuusluokitellun tiedon käsittelylle asettamat vaatimukset. Usein nämä vaatimukset näkyvät konkreettisimmillaan tiedon käsittely- ja säilytysympäristöihin kohdistuvina vaateina. Laki kansainvälisistä tietoturvallisuusvelvoit teista (588/2004) edellyttää, että Suomi valtiona noudattaa toiminnassaan niitä turvallisuusvelvoitteita, joihin se kansainvälisen yhteistyön myötä on sitoutunut. Velvoitepohjana toimivat näissä tapauksissa tyypillisesti joko tietoturvallisuutta säätävät valtiosopimukset tai Suomen valtiona muilla tavoin hyväksymät kansainväliset turvallisuussäännöstöt.
 
Valtionhallinto on suomalaisen elinkeinoelämän kannalta merkittävä työllistäjä. Valtionhallinnon hankkeisiin, samoin kuin turvallisuusluokiteltua tietoa sisältäviin kansainvälisiin hankkeisiin liittyy usein lainsäädännön sanelema tarve solmia turvallisuussopimuksia valituksi tulleiden elinkeinoelämän toimijoiden kanssa. Ennen turvallisuussopimuksen allekirjoittamista valtionhallinto arvioi elinkeinonharjoittajan turvallisuustason. Tätä tarkoitusta varten on laadittu viranomaisten ja elinkeinoelämän yhteistyönä kansallinen turvallisuusauditointikriteeristö (KATAKRI), jonka ylläpidosta vastaa sisäasiainministeriö. Auditointikriteeristö sisältää yksityiskohtaisia toimitilaturvallisuusvelvoitteita, joiden sisältö on mahdollisimman pitkälle otettu huomioon myös tässä ohjeessa.
 
Ohjetta laadittaessa on huomioitu VAHTI:n vuonna 2012 julkaisema ICT-varautumisen vaatimukset ohje, jonka sisältöä tämä ohje täydentää yksityiskohtaisemmilla vaatimuksilla. Osa valtionhallinnon toimijoista on laatinut hallinnonalakohtaisia fyysisen turvallisuuden tai toimitilaturvallisuuden vaatimusasiakirjoja. Näiden asiakirjojen vähimmäisvaatimukset on pyritty ottamaan huomioon tätä ohjetta laadittaessa. Salassa pidettävän tiedon siirtyessä valtionhallinnon toimijalta toiselle yhteisillä turvallisuusvaatimuksilla varmistetaan tiedon suojaustason mukainen oikea käsittely.

Tämän ohjeen sisältämät linjaukset on suositeltavaa ottaa käyttöön hallinnonaloja ja virastoja koskevina soveltamisohjeina sekä suunniteltaessa uusia tietoteknisiä laitetiloja. Tietoteknisten laitetilojen turvallisuutta on aiemmin ohjeistettu erillisellä VAHTI-ohjeella (1/2002), jonka voimassaolo päättyy nyt julkaistavan ohjeen myötä.
 
Ohje on laadittu VAHTI:n alaisessa hankeryhmässä, jonka jäseninä ovat toimineet: Jani Arnell, Karl Gädda, Aku Hilve (puheenjohtaja), Heikki Hovi, Hellevi Huhanantti, Kari Hurske, Juha Ilkka, Kimmo Janhunen, Olli Jokinen, Reijo Kaariste, Marko Kalliokoski, Kai Knape, Tero Lampén (30.9.2012 asti), Mikko Nissinen, Jari Panhelainen, Pauliina Pekonen, Sakari Perkiömäki, Jaakko Ritola, Kari Santalahti, Aki Tauriainen, Heikki Toivonen, Isto Turpeinen, Iina Vuorialho, Erkki Väätäinen ja Juha Åberg. Työssä käytettiin konsulttina Kesec Ky:tä.

Tulosta