Tietoturvallisuus ja varautuminen kunta- ja palvelurakennemuutoksessa. Valtiovarainministeriö Puh tai v

Transkriptio

1 Tietoturvallisuus ja varautuminen kunta- ja palvelurakennemuutoksessa v Valtiovarainministeriö Puh tai (vaihde) Snellmaninkatu 1 A, Helsinki Faksi PL 28, Valtioneuvosto valtiovarainministerio@vm.fi Y-tunnus SUOMEN VALTIO Valtiovarainministeriö Puh tai

2 2 (13) Sisällysluettelo 1 Johdanto Selvitysvaihe Tietoturvallisuus ja selvitysvaihe Varautuminen selvitysvaiheessa Toteutusvaihe Tietoturvallisuus ja toteutusvaihe Varautuminen toteutusvaiheessa Arviointivaihe BSC tietoturvan arvioinnin viitekehyksenä ja mittaristona Tietoturvan taloudelliset mittarit Tietoturvallisuus osana organisaation julkisuuskuvaa EU- sääntely ja tietotilinpäätös Varautuminen arviointivaiheessa Lähdeluettelo... 13

3 3 (13) Johdanto Tietoturvallisuuden hallinta on prosessi, joka on sidottu strategiseen johtamiseen, operatiiviseen johtamiseen, kokonaisarkkitehtuuriin ja suunnittelun vuosikelloihin. Tietoturvallisuus tulee sisällyttää osaksi organisaation arjen toimintaa, jotta tiedon turvallinen ja asiallinen käsittely toteutuu. Tietoturvallisuus on syytä huomioida jo toiminnan suunnitteluvaiheessa, jotta varmistutaan tieturvallisuudesta toiminnan ja johtamisen kannalta. Toiminta- ja tuotantoympäristöön tehtävät tietoturvapoikkeamista syntyvät muutokset ovat aina kalliita ja yleensä budjetoimattomia kulueriä. Kuntaorganisaatioiden tietoaineistot ovat kasvaneet siihen mittasuhteeseen, ettei toimijoilla ole aina selkeää käsitystä, mitä aineistoa ne omistavat, missä sitä käsitellään, kuka aineistoa käsittelee, missä sitä säilytetään sekä mikä on relevantin aineiston elinkaari. Toimintaa tulee seurata ja arvioida tietoturvan näkökulmasta jatkuvasti ja organisaatiossa oltava kypsyys toteuttaa tarvittavat tietoturvallisuuspäivitykset. Tämä ohje liittyy kuntarakennemuutoksiin ja noudattaa niihin liittyvää vaihejakoa selvitys-, toteutus - sekä arviointivaiheisiin. Ohjeen tarkoituksena on auttaa rakennemuutoksiin osallistuvia kuntia huolehtimaan tietoturvan hallinnasta, varautumisesta ja kehittämään niitä. Selvitysvaihe Selvitysvaiheessa kootaan yhdistymisselvitykseen osallistuvien kuntien nykytilatiedot niiden palvelutoiminnasta, tietovarannoista, tietojenkäsittelyä hyödyntävistä toimintaprosesseista ja tietojärjestelmistä sekä teknologiasta. Lisäksi kootaan tiedot tietotekniikkapalveluihin liittyvistä sopimuksista ja toimittajasuhteista. Selvitysvaiheen toimenpiteet tulee projektoida eli aikatauluttaa, vastuuttaa ja määritellä niille tavoitteet. Projektointiin kuuluu myös itse projektin tietoturvakäytäntöjen määrittely ja projektin kohteena olevien tietojärjestelmien tietoturvallisuuden varmistamisen suunnittelu yhdistymisvaiheessa. Nykytilan selvittämistä kokonaisarkkitehtuurin ja sopimusten näkökulmasta ja projektointia on kuvattu ohjeissa: Selvitysvaiheen kuvaukset -ohje Sopimukset ja hankinnat -ohje Projektisalkun hallinta -ohje 1.1 Tietoturvallisuus ja selvitysvaihe Kuntien nykytilaselvitysten yhteydessä kootaan osallistuvien kuntien tietoturvaperiaatteet ja tiedot tietoturvallisuuden hallinnan prosesseista. Mahdollisuuksien mukaan tietoturvapolitiikan periaatteiden yhdistämistä tai uuden tietoturvapolitiikan suunnittelua käynnistetään jo selvitysvaiheessa. Tietoturvapolitiikka on organisaation johdon hyväksymä julkinen asiakirja, joka kuvaa organisaation tietoturvallisuustavoitteet ja päämäärät, joita organisaatio sitoutuu noudattamaan päivittäisissä toiminnoissaan. Selvitysvaiheessa ei vielä ole uutta kuntaa, joka päättäisi tietoturvapolitiikasta, mutta valmistelua on hyvä jo selvitysvaiheessa aloittaa erityisesti nykytila-analyysein. Tietoturvapolitiikka sisältää esimerkiksi seuraavat asiat: Tietoturvallisuuden hallinnan tavoitteet Vastuut Tietoturvatyön organisointi ja toteutuskeinot Tietoturvallisuuden tavoitteiden toteutumisen seuranta ja ongelmatilanteiden hallinta Tiedottaminen Tietoturvallisuutta toteutetaan ja ylläpidetään tietoturvallisuuden hallintamallin avulla, joka muodostuu seuraavista osakokonaisuuksista: Tietoturvapolitiikka, jossa määritellään tavoitteet tiedon käytölle Tiedon omistajuuden määrittely

4 4 (13) Tiedon käyttötarkoituksen määrittely Tiedon salassapitoluokittelu Tietoturvasuunnitelma, joka kuvaa tiedon luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi toteutettavat hallinnolliset ja tekniset suojaukset Tiedon elinkaarenhallinta Tiedon syntyminen Tiedon säilyttäminen, versionhallinta ja hakeminen Oikeudet käyttää ja editoida tietoa Tiedon arkistointiperiaatteet Tiedon tuhoamiskäytännöt Organisaatio voi halutessaan asettaa tavoitteeksi standardinmukaisen tietoturvallisuuden hallintajärjestelmän toteuttamisen. Tietoturvallisuuden ja tietoturvariskien hallintaan liittyvät standardit ISO/IEC 27001, ISO/IEC sekä ISO/IEC 27005, jotka kattavat tietoturvallisuuden hallinnan ja tietoturvariskien hallinnan osa-alueet. Standardeissa esitetyt yleiset vaatimukset ovat sovellettavissa erityyppisissä organisaatioissa. Standardinmukainen toiminta on mahdollista sertifioida. Tietoturvapolitiikan määrittely on osa kokonaisarkkitehtuurin suunnittelua. Kokonaisarkkitehtuurin nykytilan analyysin yhteydessä on koottu tiedot yhdistymisselvitykseen osallistuvien kuntien tietovarannoista sekä olemassa olevat kuntien tietoturvapolitiikat, joissa määritellään tavoitteet tiedon käytölle. Mikäli näin ei ole jo tehty, on ensimmäisenä toimenpiteenä määritellä tiedolle omistaja, jonka tehtävänä on luokitella tieto sen salassapitotarpeen mukaisesti. Kunnilla on keskenään samanlaisia lakisääteisiä tehtäviä, joiden hoitamiseksi tarvittavien tietojen salassapitotarpeiden tulisi olla yhdenmukaiset. Salassapitoluokittelu määritellään tunnistamalla ja arvioimalla tiedon käsittelyyn kohdistuvat tietoturvallisuuden uhat sekä riskit. Tiedon salassapidolle on aina määriteltävä lakisääteinen peruste, joka usein määräytyy julkisuuslain mukaan. Salassapidon peruste saattaa olla tarkistettavissa kunnan tiedonohjaussuunnitelmasta. Tiedon salassapitoluokittelun perusteella voidaan suunnitella ja toteuttaa tarvittavat tietoturvaratkaisut. Kuntasektorilla voidaan käyttää tukena valtionhallinnon tietoturvallisuusasetuksessa (681/2010) ja sen perusteella annetuissa Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän VAHTI:n ohjeissa määriteltyjä tietoturvatasovaatimuksia eri suojaustasojen tiedon turvaamiseksi. Suojaustasojen määrittelyn perusteella luokitellaan organisaation toiminnan osa-alueet ja tietojenkäsittely-ympäristöt kolmeen tasoon: tietoturvallisuuden perustaso, korotettu taso ja korkea taso. Alin valtion viranomaisen tietojenkäsittely-ympäristöille sallittu taso on tietoturvallisuuden perustaso. Laki viranomaisten toiminnan julkisuudesta (621/1999, Julkisuuslaki) säätää viranomaisten asiakirjojen julkisuudesta ja hyvästä tiedonhallintatavasta. Valtiovarainministeriön julkaisemat tietoturvallisuutta koskevat ohjeet (Vahti-ohjeet) sisältävä paljon myös kunnille hyödyllistä aineistoa. Kuntien on kuitenkin tarkennettava vaatimuksia omassa ohjeistuksessaan toiminnan tarpeiden perusteella. Selvitysvaiheessa keskitytään nykytilan selvittämiseen sekä mahdollisen uuden kokonaisuuden suunnitteluun. Tietoaineiston luokittelu on tietoturvapolitiikan lisäksi tietoturvallisuuden keskeisimpiä toimenpiteitä. Ilman luokittelua ei synny käsitystä siitä, mitä tietoa on suojattava ja keneltä. Luokittelulle on kaksi keskeistä perustetta, joista tärkein on lainsäädäntö. Tietosuojaan liittyvät lain eri pykälät määräävät yhteiskunnassa syntyvän luottamuksellisen datan eriasteisesti suojattavaksi. Toinen peruste aineiston luokittelulle tulee organisaation sekä sidosryhmien tarpeista (esim. sopimuksista). Toimiva yhteistyö eri sidosryhmien välille vaatii sekä tehokasta informaation vaihtoa että tiedon luokittelua. Tämä voi olla erillinen dokumentti tai osa tietoturvapolitiikkaa tai sen implementointisuunnitelmaa. Valtionvarainministeriön (VAHTI 2/2010) julkaisema Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta kuvaa organisaatioiden hyvän tiedonhallintatavan mukaisten toimintaedellytykset kokonaisvaltaisen tietoturvallisuuden näkökulmasta. Se ohjeistaa luokittelemaan tietoaineistoja neljälle eri suojaustasolle asetettujen teknisten ja toiminnallisten vaatimusten mukaisesti. Ohje käsittelee erityisesti salassa pidettävän tiedon suojaamista ja sen käyttöä.

5 5 (13) Tietojen luokittelu tietoturvallisuusasetuksen mukaisesti ja turvatasojen vaatimusten noudattaminen edesauttaa yhdenmukaisten tiedon suojauskäytäntöjen syntymistä julkishallintoon, mikä helpottaa salassa pidettävien tietojen vaihtoa kunnan ja valtion viranomaisten välillä. Aineiston omistajuus Selvitysvaiheen ajan kukin kunta toimii itsenäisenä toimijana ja rekisterinpitäjänä. Mikään ei kuitenkaan estä yhteistä suunnittelua ja mahdollista asioiden yhdenmukaistamista eri kuntien välillä kuntien itsenäisin päätöksin. Aineiston omistajuus ja rekisterinpitovastuut ovat kuntakohtaisia valtuuksia ja vastuita kunnes mahdollinen uusi kuntarakenne on voimassa. Omistajuus merkitsee oikeutta myöntää muille oikeuksia tiedon käytölle. Kuntien johdon tehtävänä on vastata siitä, että kaikille tietoaineistoille ja järjestelmille on määritelty omistajat. Lisäksi on syytä määritellä miten, kuinka kauan ja missä tietoa säilytetään sekä milloin ja miten se aikanaan tuhotaan. Kunnan eri toimintasektoreille on omia erityislainsäädännöstä tulevia vaatimuksia tietojen hallinnalle. Lisäksi tulee huomioida eri projektien ja prosessin aikana syntyvän uuden aineiston omistajuuden määrittely (vrt. VAHTI 9/2006). Tietojenkäsittelyprosesseissa on määriteltävä rekisterinpitäjä, joka vastuulla on tiedon asiallinen käsittely koko tiedon elinkaaren ajan. Tietojenkäsittely voidaan ulkoistaa erillisellä toimeksiannolla, jolloin rekisterinpitäjästä tulee toimeksiantaja ja siitä, jolle toimenpide ulkoistetaan, tulee toimeksisaaja. Rekisterinpitäjä eli toimeksiantaja on velvollinen jättämään rekisteri-ilmoituksen ja toimeksisaaja on velvollinen jättämään toimintailmoituksen toiminnasta tietosuojavaltuutetun toimistolle (Tietosuojavaltuutetun toimisto, 2010). Hyvin dokumentoidun tiedonohjaussuunnitelman tulisi kuvata kattavasti tiedon elinkaarenhallinnan kaikki vaiheet. Tietoturvallisuutta sekä tietojenkäsittelyä koskevia säädöksiä on mm. seuraavissa erityislaeissa: Henkilötietolaki (523/1999), jossa keskeisimmät säännökset hyvän tietojenkäsittelytavan näkökulmasta ovat lain 2 luvun periaatteet: huolellisuus- ja laillisuusvelvoite (5 ) henkilötietojen käsittelyn etukäteissuunnittelu (6 ) henkilötietojen käyttötarkoitussidonnaisuus ja käsittelyn rajoitukset (7-8 ) henkilötietojen laatua koskevat periaatteet (9 ) Laki julkisen hallinnon tietohallinnon ohjauksesta (634/2011) Laki turvallisuusselvityksistä (177/2002) Sähköisen viestinnän tietosuojalaki (516/2004) Laki yksityisyyden suojasta työelämässä (759/2004) Arkistolaki (831/1994) Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) Laki viranomaisten toiminnan julkisuudesta (621/1999) Tietoturvallisuuden riittävä taso on määriteltävä suunnitelmaa laadittaessa, sillä se on välttämätön edellytys toiminnan jatkuvuudelle. Toimintaympäristön ja tietoturvallisuuden kypsyyden arviointiin on olemassa useita eri mittareita, joista yleisimmin käytetyt tukeutuvat VAHTI dokumentteihin ja Kansalliseen auditointikriteeristöön (KATAKRI II, 2011). Kypsyysarvioinnin perusteella voidaan selvittää kunnan tietoturvallisuuden kypsyystaso ja tunnistaa kehittämiskohteet. 1.2 Varautuminen selvitysvaiheessa Valmiuslain (1552/2011) mukaan julkisen sektorin organisaatioiden, ml. kuntien, on huolehdittava valmiussuunnitelmista. Varautumisella tavoitellaan toiminnan jatkuvuuden hallintaa häiriötilanteiden aikana useista eri näkökulmista. Tietoturvallisuuden näkökulmasta varautumisen tavoitteena on tietojenkäsittelypalvelujen saatavuuden turvaaminen, tietoturvapoikkeamista johtuvien haitallisten vaikutusten pienentäminen sekä niistä toipumisen nopeuttaminen.

6 6 (13) Selvitysvaiheessa valmistelu tähtää sopimukseen, jolla sovitaan uudesta kuntarakenteesta ja siihen liittyvistä periaatteista. Toiminnan jatkuvuuden varmistaminen on tärkeää ottaa mukaan suunnitteluun jo selvitysvaiheessa. Epävarmuus mahdollisesti kuntarakenteesta usein estää kuitenkin tarkan suunnittelun, joka pitää kuitenkin aloittaa välittömästi päätöksenteon jälkeen. Varautumisen liittyvät keskeiset dokumentit ovat valmius-, jatkuvuus- ja toipumissuunnitelmat. Näiden dokumenttien laatimista varten on hyödynnettävissä mm. VAHTI 3/2007 raportti, johon on kuvattu suunnitelmien keskeiset sisällöt. Jatkuvuussuunnitelmaan on kirjattu suunnitelmat toiminnan varmistamiseksi häiriötilanteissa niin toimintaprosessien kuin laajempien palvelukokonaisuuksienkin näkökulmasta. Toipumissuunnitelma on yksittäisen palvelun tai järjestelmän eri häiriötilanteista palautumisen ohjeet sisältävä dokumentti, jossa kuvataan palvelun tai järjestelmän keskeiset tehtävät ja ongelman rajoittamisen, varamenettelyyn siirtymisen, ongelman selvityksen ja normaalitilaan palauttamisen menettelyt häiriötilanteen yllättäessä. Kuntasektorin ICT-varautumisen esiselvitysraportissa on esitetty ehdotuksia varautumisen toteuttamiseksi. Ollakseen kustannustehokasta, ICT-varautumisen tulee olla koordinoitu osa kunkin kunnan jokapäiväistä toimintaa siten, että kunnan tuottamien palvelujen jatkuvuus kyetään takaamaan toiminnan vaatimusten mukaisesti normaaliolojen häiriötilanteissa, yhteiskunnan laajoissa häiriöissä ja poikkeusoloissa. ICT-varautuminen ei ole erillinen toiminto, vaan osa tietohallinnon ja yleisen varautumisen kokonaisuutta. Keskeisiä raportissa esiin nostettuja kehittämisalueita ovat ICT-varautumisen vaatimusten ohjauksen ja resursoinnin tehostaminen, tilannetietojen saatavuuden parantaminen, uhka- ja riskianalyysimenetelmien yhtenäistäminen, osaamisen varmistaminen sekä palveluverkoston hallinta ja hyödyntäminen. Raporttia voidaan käyttää tukena selvitysvaiheessa. Selvitysvaiheessa voidaan toteuttaa ICT-varautumisen vaatimusten (VAHTI 2/2012) itsearviointi nykytilan selvittämiseksi ja kehittämiskohteiden tunnistamiseksi. Varautumisen perustana on riskienarviointi ja hallinta, joka perustuu ennaltaehkäisevään toimintaan. Kuntien on pyrittävä tunnistamaan ja arvioimaan riskit mahdollisimman aikaisessa vaiheessa riskien vaikutusten ja seurausten minimoimiseksi. Kuntarakennemuutoksen selvitysvaiheessa on vähintään koottava kuntien olemassa olevat jatkuvuus-, toipumis- ja varautumissuunnitelmat sekä valmistauduttava tuleviin muutoksiin. Selvitysvaiheen suositukset: Kokoa kuntien olemassa olevat jatkuvuus-, toipumis- ja varautumissuunnitelmat Määrittele kuntien kriittiset palvelut ja suunnittele tietoturvan ja varautumisen toimenpiteet jatkuvuuden varmistamiseksi Selvitä tietoturvallisuuden nykytila esim. liitteen 2 kyselylomaketta hyödyntäen ja määrittele tietoturvapolitiikan tavoitetila. Arvioi kuntien toimintaympäristöjen tietoturvallisuuden kypsyys Suunnittele yhdistyville kunnille tietoturvapolitiikka, joka vastaa yhdistyvien kuntien tavoitteita Määrittele tiedoille omistajat, jotka luokittelevat tiedon tietoturvatasot Kartoita ja analysoi mahdolliset tulevat riskit (ks. Riskienhallinta ohje) Toteutusvaihe 1.3 Tietoturvallisuus ja toteutusvaihe Kun kuntien yhdistymistä ryhdytään toteuttamaan valtuustojen tekemän yhdistymispäätöksen jälkeen, ohjaa valmistelua yhdistymishallitus. Selvitysvaiheessa koottu suunnittelumateriaali ja mahdollisesti valmistellut tietoturvapolitiikka, -periaatteet ja suunnitelma päivitetään yhdistymishallituksen ohjauk-

7 7 (13) sessa sen antamin valmistelu-valtuuksin. Dokumenttien tulee vastata yhdistymissopimuksen linjauksia ja ne valmistellaan uuden kunnan tarpeisiin. Suunniteltaessa tietoturvapolitiikkaan kirjoitettujen tavoitteiden toteuttamista, on syytä huomioida että tietoturvallisuus on laaja kokonaisuus. On todennäköistä, että jokainen kunta on tietoturvallisuuden suhteen eri tilanteessa, jolloin kunnille on erikseen räätälöitävä omat tietoturvallisuuden toteuttamissuunnitelmat (osana yhteistä suunnitelmaa) vertailemalla nykytilaa uusiin yhteisesti hyväksyttyihin tavoitteisiin. Kunnan eri toimintasektoreilla on usein erilaiset tarpeet tietoturvallisuuden hallinnalle. Toteuttamissuunnitelmissa on suositeltavaa tukeutua olemassa oleviin kansainvälisin standardeihin ja kriteeristöihin. Standardeista keskeisin on ISO 27001, jossa määritellään yleiset vaatimukset tietoturvallisuuden hallintajärjestelmän luomiselle, toteuttamiselle, käyttämiselle, valvonnalle, katselmoinnille, ylläpidolle ja parantamiselle. Standardissa esitetyt yleiset vaatimukset ovat sovellettavissa organisaation tyypistä, koosta tai luonteesta riippumatta. Toteutussuunnitelmat ovat aina kuntakohtaisia, joista tulee ilmetä konkreettisesti kaikki henkilöstöön kohdistuvat, hallinnolliset ja fyysiseen ympäristöön kohdistuvat toimenpiteet. On suositeltavaa, että toimenpiteet projektoidaan (suunnitellaan aikataulu, vastuut, tavoitteet, resurssit ja toimenpiteet). Suunnitelmat on hyvä tarkentaa kunnan toimintasektoreittain. Tietoturvallisuuteen liittyvät toimenpiteet jaetaan hallinnolliseen tietoturvallisuuteen ja tekniseen tietoturvallisuuteen (mm. laite-, ohjelmisto-, tietoaineisto- sekä tietoliikenneturvallisuuteen). Kunnan johdolla on kokonaisvastuu tietoturvallisuuden toteuttamisesta, mutta vastuut vodiaan jakaa osa-alueittain hallintojohtajalle, henkilöstöpäällikölle sekä tietohallintojohtajalle. Toteutusvaiheessa valmistelua voi tehdä myös yhteisesti nimetty henkilö (turvallisuuspäällikkö, tietoturvapäällikkö), mutta ennen uuden kunnan alkua päätösvalta asioiden toteuttamisesta on pääsääntöisesti vielä kunnissa. Tulevaisuuden kannalta on jo valmisteluvaiheessa hyödyllistä nimetä uuden kunnan tietoturvallisuuden vastuuhenkilö, joka vasta tietoturvallisuuteen liittyvistä käytännön järjestelyistä. 1.4 Varautuminen toteutusvaiheessa Toteutusvaiheessa kriittistä on turvata palveluiden ja tietojärjestelmien jatkuvuus. Tällä varmistetaan, että kuntalaiset saavat tarvittavat palvelut, tiedon käsittely uudessa kunnassa tapahtuu hallitusti ja että tarvittavat järjestelmät toimivat. Erityistä huomiota tulee kiinnittää jatkuvuudenhallintaan tietojärjestelmien yhdistämisprojekteissa. Uudelle kunnalle on toiminnan jatkuvuuden varmistamiseksi laadittava jatkuvuus-, toipumis- ja varautumissuunnitelmat. Lisäksi selvitysvaiheen riskienhallintakartoituksen pohjalta on tarkistettava uuden kunnan riskirekisteri ja riskienhallintastrategia (VAHTI 2/2012). Selvitysvaiheessa mahdollisesti laadittuja suunnitelmia ja kerätty tietoa käytetään hyväksi uuden kunnan suunnitelmia laadittaessa. Tietoturvan ja varautumisen toiminnalliset vastuut on nimettävä uuden kunnan organisaatiossa. Tietoturvan ja varautumisen hallinnan toimenpiteet on liitettävä kunnan yleiseen johtamisen ja suunnittelun vuosirytmiin ja vuosikelloon. Taulukko 1: Tietoturvan ja varautumisen vastuut sekä toimenpiteet Toimenpide Kokonaisvastuu Käytännön toteuttamisvastuu Tietoturvallisuuden vuosikellon suunnittelu Tietoturvapolitiikka Tiedon omistajuuden määrittely Tiedon luokittelu Tiedon omistaja Lainsäädännöllisten seikkojen huomioiminen Kunnan lakimies

8 8 (13) Nykytilan kartoitus Henkilöstöjohtaja Hallintojohtaja Turvallisuuspäällikkö Tietohallintopäällikkö Toteutussuunnitelmien määrittely. Nykytilan vertaaminen tietoturvapolitiikassa hyväksyttyyn tavoitetilaan Henkilöstöjohtaja Hallintojohtaja Turvallisuuspäällikkö Tietohallintopäällikkö Tiedon elinkaaren hallinta Tietosuojavastaava Henkilökunnan valmistaminen mahdollisiin toiminnallisiin muutoksiin EU tietosuojadirektiivi huomioiminen Tietoturvariskien arviointi suhteessa tietoturvainvestointiin Tietoturvapoikkeamien ennaltaehkäisy, varautuminen Tietoturvapoikkeamiin reagointi Tietoturvaastaava Henkilöstöjohtaja Hallintojohtaja Turvallisuuspäällikkö Tietohallintopäällikkö Kunnan lakimies Tietosuojavastaava Kunnan lakimies Henkilöstöjohtaja Hallintojohtaja Turvallisuuspäällikkö Tietohallintopäällikkö Henkilöstöjohtaja Hallintojohtaja Turvallisuuspäällikkö Tietohallintopäällikkö Monitorointi ja tietoturvallisuuden toteutumisen seuranta systemaattisella mittarilla Henkilöstöjohtaja Hallintojohtaja Turvapäällikkö Tietohallintopäällikkö Tietotilinpäätökset Tietosuojavastaava

9 9 (13) Toteutusvaiheen suositukset: Suunnittele kuntien kriittisten palveluiden, tietoturvan ja varautumisen toimenpiteet jatkuvuuden varmistamiseksi Kartoita ja analysoi mahdolliset tulevat keskeiset riskit (ks. Riskienhallinta ohje) Nimeä uuden kunnan tietoturvavastaava ja määrittele tietoturvavastuut Selvitä uuden kunnan strategiset tavoitteet ja niiden yhteys tietoturvallisuuteen Selvitä tietoturvallisuuden nykytila esim. liitteen 2 kyselylomaketta hyödyntäen ja määrittele tietoturvapolitiikan tavoitetila. Arvioi kuntien toimintaympäristöjen tietoturvallisuuden kypsyys (mikäli ei toteutunut jo selvitysvaiheessa) Laadi uuden kunnan tietoturvapolitiikka ja tietoturvasuunnitelma, ota huomioon eri toimintasektorien vaihtelevat tarpeet Laadi uudelle kunnalle jatkuvuus-, toipumis- ja varautumissuunnitelmat Varmista, että lainsäädäntö ja säädökset on otettu niissä huomioon. Ota huomioon tuleva EU tietosuojadirektiivi Varmista, että tietoturvaperiaatteet ja -vaatimukset sisällytetään kokonaisarkkitehtuuriperiaatteisiin Käynnistä tietoturvasuunnitelman toteutus Käynnistä jatkuvuus-, toipumis- ja varautumissuunnitelmissa määritellyt toimenpiteet Huolehdi viestinnästä ja valmistele henkilökunta muutoksiin Arviointivaihe Tietoturvallisuuden arvioinnilla hankitaan varmuus ja luottamus siihen, että uusi kunta täyttää tietoturvallisuudelle asetetut vaatimukset. Arvioinnin kohteena on joko tietojenkäsittely-ympäristö, sen toteutus, tietojärjestelmä, tietoliikennejärjestely, arkistot tai tietoturvallisuuden hallintajärjestelmä. Arviointia voidaan toteuttaa jatkuvana toimintana jo kuntarakennemuutoksen toteuttamisvaiheesta alkaen ja sen tulisi olla jatkossa organisaation pysyvänä toimintatapana. Tietoturvallisuuden hallinnan kokonaiskuvan arvioinnissa on suositeltavaa käyttää samaa arviointikehikkoa, jota käytettiin selvitysvaiheessa nykytilan itsearviointiin (esim. tietoturvatasot vaatimustaulukko). Arvioinnit tulee toteuttaa säännöllisesti (esim. vuosittain), jotta voidaan varmistua aiemmin saavutetun tason pysymisestä ja tavoitteiden mukaisesta kehittymisestä valituilla kohdealueilla. Tietoturvan arvioinnissa on syytä huomioida uuden kunnan strateginen suunnittelu, palveluiden suunnittelu sekä kunnassa käytössä oleva strategisen arvioinnin viitekehys ja arviointitapa. 1.5 BSC tietoturvan arvioinnin viitekehyksenä ja mittaristona Tietoturva-arvioinnin mittareina on mahdollista hyödyntää Balanced Scorecard- viitekehystä (BSC) editoituna tukemaan tietoturvallisuuden näkökulmaa. Näkökulmat ovat usein samat kuntien strategioissa, joten se antaa yhdenmukaisen pohjan strategiselle johtamiselle ja tietoturvan tarkastelulle. Tavoiteltavana voidaan pitää tilannetta, jossa tietoturvallisuuteen ja varautumiseen liittyvät vuosittaiset kehittämistavoitteet on kirjattu eri tasoilla käytettyihin tuloskortteihin (kunta, toimintasektori, toimintayksikkö, ryhmä, henkilö). BSC:n mukaiset näkökulmat mittareihin ovat: Talous Toimintaympäristön kypsyys Sisäiset Prosessit Ulkoiset tekijät Näihin liittyvät tavoitteiden mittarit arvioivat strategian toteutumista.

10 10 (13) Kuva 1: Balanced Scorecard- mallin soveltaminen tietoturvallisuuden arvioinnin ja kehittämisen mallina. 1.6 Tietoturvan taloudelliset mittarit Valtiovarainministeriön Tietoturvallisuuden hallintajärjestelmän arviointisuositus dokumentin (VAHTI 3/ 2003) mukaan tietoturvallisuuden kriittiset tavoitteet voidaan määritellä tietoturvallisuuteen kustannusten perusteella. Tietoturvallisuuden taloudelliset reunaehdot liittyvät keskeisesti tiedon arvoon, jonka määrittelee tiedon omistaja. Lainsäädäntö määrittelee vaatimukset, joihin kunnan on varattava taloudelliset resurssit. Käyttöönotettavien mittareiden tulee taloudellisesta näkökulmasta mitata tietoa, jonka perusteella on mahdollista analysoida tietoturvallisuuspoikkeamien lukumäärä ja niiden kriittisyyden merkittävyys suhteutettuna muutosten toteuttamisen kustannuksiin. Lähtökohtaisesti on huomioitava, että lain tietoturvallisuudelle asettamat vaatimukset aiheuttavat väistämättä kustannuksia kunnalle, jotka voidaan nähdä investointina toiminnan kehittämiseen. Tietoturvallisuuden toteuttamisesta syntyvät kustannukset eivät ole kuntien budjeteissa merkittäviä, varsinkaan suhteessa mahdollisiin riskien realisoitumisesta aiheutuviin kustannuksiin. Edullisinta onkin huomioida tietoturvallisuus toimintaprosessien suunnitteluvaiheessa. Tietoturvallisuuden taloudelliseen näkökulmaan liitettävät mittarit ovat johtamisen kannalta merkityksellisiä. Tietoturvariskejä mittaamalla kunnilla on mahdollisuus muodostaa kokonaiskuva tietoturvallisuuden tilasta ja siitä, mihin tietoturvakustannukset allokoidaan. Taloudelliseen näkökulmaan liittyviä tietoturvamittareita ovat muun muassa: Tietojärjestelmän käyttökatkoista johtuvat kustannukset Tietoturvatapauksista aiheutuvat kustannukset Tietoturvallisuuden budjetti Toteutuneiden tietoriskien määrä tai jäännösriskien suuruus 1.7 Tietoturvallisuus osana organisaation julkisuuskuvaa Kunnan yksi keskeisimpiä vaatimuksia on ylläpitää kuntalaisten luottamus kaikkea kunnan toimintaa kohtaan. Luottamuksellisen tiedon asianmukainen käsittely sekä tiedon oikeellisuuden ja alkuperäisyyden tunnistaminen ovat tässä oleellisia. Kuntien siirtäessä palvelujaan entistä enemmän jaettavaksi

11 11 (13) informaatio ja kommunikaatioteknologiaa hyödyntäen, on kuntalaisten näkökulmasta tiedon luottamuksellisuuteen ja käytettävyyteen kiinnitettävä erityistä huomiota. Julkisuuskuvaan vaikuttaa merkittävästi kunnan edustajien viestintä erilaisissa tietoturvapoikkeamatilanteissa tai palvelukatkoissa. Tietoturvapoikkeamiin liittyvä häiriötiedottaminen eri sidosryhmille tulee valmistella ennakkoon, jotta toimintamallit ja koordinointi on selkeää ei-toivotun tapahtuman sattuessa. Hyvin hoidetulla, oikea-aikaisella ja asianmukaisella viestinnällä voidaan jopa parantaa julkisuuskuvaa, vaikka kuntalaiset joutuisivat kokemaan haittaa tai jopa vahinkoa esim. kunnan palvelujen saatavuusongelmien vuoksi. Erilaisilla palautemittareilla on mahdollista kerätä kuntalaisilta palautetta palveluiden laadun sekä käytetyn tiedon luotettavuuden ja hyödynnettävyyden tasosta. Kuntarakennemuutoksessa toiminnan normaali jatkuvuus ja tietojärjestelmien sekä tietoturvan luotettavuus vaikuttavat keskeisesti myös kuntarakennemuutoksen onnistumisen kokemuksiin. 1.8 EU- sääntely ja tietotilinpäätös EU:ssa on parhaillaan valmisteilla kaksi direktiiviä ja yksi asetus, joilla tulevaisuudessa lisätään myös kuntien velvoitteita tietoturvan järjestämisessä. Kiteytettynä direktiiveillä pyritään toiminnalliseen muutokseen, jossa kunnillekin tulee aktiivisempi rooli tietoturvakäytäntöjensä raportoinnissa. Tämä tarkoittaa, että organisaatiot joutuvat pyynnöstä raportoimaan viranomaisille tietojen käsittelystä ja tietoturvapoikkeamista. Viranomaisille on kaavailtu laiminlyönneistä sanktio-oikeutta, joka on merkittävä. Suomessa esitetään tietotilinpäätöskäytäntöä, joka on lähinnä hyvä käytännön työkalu raportointivelvollisuuden hoitamiselle. Suomessa raportoitaisiin todennäköisesti joko Tietosuojavaltuutetun toimistolle tai mahdollisesti Viestintävirastolle. Tietosuojavaltuutetun toimiston esittelemä tietotilinpäätösraportti nähdään tehokkaana menetelmänä vastata EU asettamiin tulevaisuuden haasteisiin. Tietotilinpäätös on suunniteltu dynaamiseksi työkaluksi, jonka tavoitteena on tukea organisaation tehokkuutta, vaikuttavuutta ja kilpailukykyä. Raportilla pyritään todentamaan organisaation vastuullista tietojenkäsittelyä, lakien noudattamista, hyvää tietojenkäsittelytapaa sekä hyvää tiedonhallintatapaa, jolla voidaan myös täydentää lakisääteistä tilinpäätöksiin ja toimintakertomuksiin kuuluva raportointia. Sen sisältö vaihtelee organisaation toimialasta ja toiminnan laadusta riippuen ja se tulee ottaa käyttöön siinä laajuudessa, kun sillä arvioidaan olevan positiivisia vaikutuksia organisaation toimintaan. Hyvin tuotettu tietotilinpäätös toimii organisaatiossa suunnittelun ja toiminnan ohjauksen, raportoinnin ja johtamisen tukena sekä kehittämistoimenpiteiden seurannan apuvälineenä. Tietotilinpäätösraportti on myös lisäarvoa tuottava dokumentti, jonka avulla voidaan raportoida organisaation sidosryhmille tietojen käsittelyä koskevia keskeisiä tavoitteita ja tunnuslukuja. Esimerkki tietotilinpäätösraportin sisällöstä (Tietosuojavaltuutetun toimisto, 2012): Mitä tietovarantoja organisaation hallussa on Mikä on organisaation tietoarkkitehtuuri Mikä on organisaation hallussa olevien tietojen laatu ja käytettävyys Mitä menettelytapoja ja periaatteita tietojen käsittelyssä noudatetaan Miten tiedot on suojattu Miten tietojen käyttöä valvotaan Miten rekisteröityjen oikeudet tietojen käsittelyssä toteutetaan 1.9 Varautuminen arviointivaiheessa Keskeisenä varautumiseen liittyvänä toimenpiteenä on systemaattinen seuranta ja raportointi, jossa monitoroidaan organisaatioiden tietoturvallisuuden tilaa tietoturvallisuuden eri osa-alueiden näkökulmista. Seurannan tavoitteena on saada tietoa tietoturvatason kehittymisestä sekä kiinnittää henkilöstön huomio tietoturvallisuuteen osana toiminnan arkea.

12 12 (13) Arviointivaiheessa on hyvä käyttää samaa viitekehystä kuin selvitysvaiheessa, esim. VAHTI 2/2012 ICT-varautumisen vaatimustasot. Arvioinnissa tulisi kiinnittää erityistä huomiota siihen, että varautumiseen liittyvät suunnitelmat ovat ajan tasalla eli ne vastaavat nykyisen toiminnan tarpeita, ja että niiden jalkauttaminen on toteutettu riittävälle tasolle, esim. koulutettu avainhenkilöille ja viety häiriötilanteista toipumisen harjoitteluun saakka. Tietoturvallisuuden riskienarviointi ja varautuminen voidaan jakaa kahteen eri vaiheeseen, akuutteihin toimenpiteisiin kriittisten ja vakavien poikkeamien yhteydessä sekä ennaltaehkäiseviin toimenpiteisiin riskinarvion yhteydessä. Yksinkertaisimmillaan toimintaa voidaan seurata esimerkiksi taulukossa 1 kuvatun tietoturvamatriisin avulla, johon voidaan kerätä joko havaittuja poikkeamia tai mahdollisia uhkia mahdollisimman varhaisessa vaiheessa. Poikkeamien huomioimiseen on suositeltavaa kannustaa koko henkilökuntaa. Tietoturvallisuuden ominaisuuksia ovat tiedon luottamuksellisuus, eheys ja käytettävyys. Tiedon luottamuksellisuuden tavoitteena on, etteivät ulkopuoliset pääse lukemaan salaista tietoa. Tavoitteeseen päästään esimerkiksi salauksen, pääsynvalvonnan, todennuksen, valtuutuksen, fyysisen turvallisuuden ja koulutuksen avulla. Eheydellä taataan, ettei tietoon ei ole tehty luvattomia muutoksia eikä se ole muuttunut satunnaisten virheiden takia. Tiedon eheys varmistetaan varmuuskopioilla, tarkistussummilla ja tietoja korjaavilla koodeilla. Käytettävyydellä varmistetaan, että toimija saa juuri oikean tiedon käyttöönsä sillä hetkellä, kun hänen toimintansa sitä edellyttää. Käytettävyyden huomioiminen on keskeisessä asemassa onnistuneessa tietoturvallisuuden käyttöönotossa. Taulukko 2: Tietoturvamatriisin avulla tunnistetaan tietoturvariskejä Attribuutit Tietoturvallisuuden osa-alueet Tieto Luottamuksellisuus Henkilöstö Hallinnollinen Fyysinen Poikkeama A, Kriittinen. Esim. henkilöstö ei tunne tietoturvapolitiikkaa Käytettävyys Poikkeama B, vakava. Esim. Henkilö saa työpostia, joka ei kuulu hänelle perustuen ammatilliseen rooliin Eheys Poikkeama C, Lievä esim. tilaan, jossa ylläpidetään järjestelmä X käyttäjätunnuksia ja salasanoja, on lukon ovi rikki

13 13 (13) Arviointivaiheen suositukset: Toiminnan arviointi voidaan aloittaa jo toteutusvaiheessa, mutta pääsääntöisesti arviointivaihe tarkoittaa muutoksen jälkeistä tilannetta ja tietoturvan hallintaa nk. jatkuvana toimintatapana Määrittele miten tietoturvallisuuden toteutumista mitataan ja aloita mittareiden systemaattinen seuranta Vertaa saatuja tuloksia tietoturvapolitiikkaan, tietoturvan tavoitteisiin ja käytännön kokemukseen sekä raportoi tuloksista johdolle Reagoi tietoturvapoikkeamiin tietoturvasuunnitelman mukaisesti Arvioi tietoturvainvestointeja ja suhteuta ne tietoturvariskeihin Ennakoi tietoturvariskit jatkuvalla monitoroinnilla - hyödynnä ennakoinnissa sisäisiä tarkastuksia, johdon katselmuksia sekä muut olennaiset tiedot. Toteuta ehkäiseviä ja korjaavia toimenpiteitä Lähdeluettelo Lähteet: KATAKRI II, 2011: KANSALLINEN TURVALLISUUSAUDITOINTIKRITEERISTÖ Puolustusministeriö VAHTI 3/ 2003: Tietoturvallisuuden hallintajärjestelmän arviointisuositus VAHTI 9/ 2006: Käyttövaltuushallinnon periaatteet ja hyvät käytännöt VAHTI 3/ 2007: Tietoturvallisuudella tuloksia - Yleisohje tietoturvallisuuden johtamiseen ja hallintaan VAHTI 2/2010: Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta VAHTI 3/2010 Sisäverkko-ohje VAHTI 2/2011 Johdon tietoturvaopas VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohje VAHTI 2/2012: ICT-varautumisen vaatimukset VAHTI 3/2012 Teknisen ICT-ympäristön tietoturva-ohje VAHTI 1/2013 Sovelluskehityksen tietoturvaohje VAHTI 2/2013 Toimitilojen tietoturvaohje VAHTI 5/2013 Päätelaitteiden tietoturvaohje Kuntien ICT-varautuminen, esitutkimus. Valtiovarainministeriön julkaisuja 5/ HENKILÖTIETOJEN KÄSITTELYN ULKOISTAMINEN, YHTEISET TIETOJÄRJESTELMÄT, VERKOTTUMINEN JA NIIHIN LIITTYVÄT SOPIMUKSET Tietosuojavaltuutetun toimisto : LAADI TIETOTILINPÄÄTÖS Tietosuojavaltuutetun toimisto.