Ohje tietoturvallisuuden arviointilaitoksille

Transkriptio

1 Ohje 1 (45) Ohje tietoturvallisuuden arviointilaitoksille

2 Ohje 2 (45) Versiohistoria Versio Päiväys Kuvaus/muutos Tekijä [Ensimmäinen versio] Laura Kiviharju Luku 6, laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta (250/2014) ja sähköisestä lääkemääräyksestä annetun lain muuttamisesta (251/2014) Pätevyysalueen muuttaminen; Katakri III:n aiheuttamat muutokset dokumenttiin. Laura Kiviharju Anna von Fieandt- Lehtonen

3 Ohje 3 (45) Sisältö 1 Johdanto Ohjeen tarkoitus ja soveltamisala Määritelmät Tietoturvallisuuden arviointitoiminnan tarkoitus Viranomaisten yleiset tietoturvallisuusvaatimukset Viranomaisten tietojärjestelmien ja luokiteltujen asiakirjojen käsittely-ympäristöjen arviointi Yritysturvallisuuden edistäminen ja kehittäminen Tietoturvallisuustoiminnan organisointi ja vastuut Arvioinnin toimeksiantaja Salassa pidettävää tietoa käsittelevä taho Tietoturvallisuuden arviointilaitos Viestintävirasto FINAS-akkreditointipalvelu Valtiovarainministeriö Kansallinen turvallisuusviranomaisorganisaatio Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointiperusteet Viranomaisten toimintaa koskevat kansalliset tietoturvallisuusvaatimukset Kansainvälisiin tietoturvavelvoitteisiin perustuvat tietoturvallisuusvaatimukset Muut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet ja vahvistettuun standardiin perustuvat vaatimukset Arviointilaitoksen hyväksyminen Vaatimukset tietoturvallisuuden arviointilaitokselle Johtamis- ja tietoturvallisuuden hallintajärjestelmiä koskevien vaatimusten soveltaminen tietojärjestelmiin Toiminnallinen ja taloudellinen riippumattomuus Laitoksen henkilökunnan pätevyys ja toiminnan edellyttämät järjestelmät Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus Asianmukaiset ohjeet toimintaa ja sen seurantaa varten Hyvää hallintoa koskevien säännösten noudattaminen Arviointilaitokseksi hakeutuminen Akkreditoinnin hakeminen Hyväksynnän hakeminen Viestintävirastolta Pätevyysalueen muuttaminen... 24

4 Ohje 4 (45) 5 Tietoturvallisuuden arviointimenettely Arviointityypit Tietoturvallisuuden hallintajärjestelmän arviointi Tietojenkäsittely-ympäristön arviointi Tietojärjestelmän arviointi Osittainen arviointi Esiarviointi Arviointikriteeristöt ja niiden soveltamisohjeet VAHTI Katakri Vahvistettuun standardiin perustuvat tietoturvallisuusvaatimukset Arviointimenettelyn vaiheet Toimeksianto Arvioinnin perustaksi otettujen tietoturvallisuutta koskevien vaatimusten toteutuminen Arvioinnissa sovellettava menettely Arviointiraportti ja muut arviointiin liittyvät asiakirjat Todistuksen antaminen Arviointia koskevien tietojen julkaiseminen Seurantatoimenpiteet Arviointimenetelmät Yleisiä arviointitoiminnassa huomioitava periaatteita Hallinnolliselle todentamiselle asetettavat vähimmäisvaatimukset Tekniselle todentamiselle asetettavat vähimmäisvaatimukset Arviointilaitoksen suorittaman arvioinnin suhde viranomaishyväksyntään ja viranomaisen antama todistus Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi Tietoturvallisuuden arvioinnin suorittaminen ja todistuksen antaminen Käyttöönoton jälkeinen seuranta ja laitoksen ilmoitusvelvollisuus Arviointilaitoksen valvonta ja laadunhallinta Arviointilaitosten ohjaus ja valvonta Hyväksymispäätös ja sen valvonta Viestintäviraston tarkastus- ja tiedonsaantioikeus Arviointilaitoksen hyväksymisen peruuttaminen Arviointilaitoksen tiedonanto- ja ilmoitusvelvollisuus Ohjeen voimaantulo LIITTEET Liite 1. Tietoturvallisuuden arviointitoimintaa ohjaavat keskeiset normit... 42

5 Ohje 5 (45) Liite 2. Arviointiraporttimalli... 45

6 Ohje 6 (45) 1 Johdanto 1.1 Ohjeen tarkoitus ja soveltamisala 1.2 Määritelmät Tässä ohjeessa kuvataan tietoturvallisuuden arviointilaitoksen rooli ja tehtävät tietoturvallisuuden arviointitoiminnassa. Ohjeessa kuvataan arviointilaitosten toimintaa koskevat vaatimukset ja tietoturvallisuuden arviointia koskeva menettely. Hyväksytyn tietoturvallisuuden arviointilaitoksen on aina tunnettava sen toimintaan liittyvä voimassa oleva lainsäädäntö ja muut toimintaa kokevat vaatimukset. Tätä ohjetta sovelletaan myös tietoturvallisuuden arviointilaitosten hyväksymismenettelyssä. Akkreditointi arviointielimen pätevyyden toteaminen yhdenmukaisten kansainvälisten tai eurooppalaisten arviointiperusteiden mukaisesti. Arvioinnin kohde tietojärjestelmä, tietojenkäsittely-ympäristö tai hallintajärjestelmä, jossa salassa pidettävää tietoa käsitellään Arviointilaitoslaki ( /1405) laki tietoturvallisuuden arviointilaitoksista ISO standardi SFS-EN ISO/IEC 17021:2011 Vaatimustenmukaisuuden arviointi. Vaatimukset johtamisjärjestelmiä auditoiville ja sertifioiville elimille. Conformity assessment. Requirements for bodies providing audit and certification of management systems ISO standardi ISO/IEC 27006:2011 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems Julkisuuslaki laki viranomaisten toiminnan julkisuudesta ( /621) Julkisuusasetus asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta ( /1030) Tietojärjestelmä tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuva kokonaisjärjestely Tietoliikennejärjestely tiedonsiirtoverkosta, tiedonsiirtolaitteista, ohjelmistoista ja muista tietojenkäsittelystä koostuvista järjestelyistä muodostuva järjestelmä Tietoturvallisuuden arviointilaitos Viestintäviraston hyväksymä elinkeinonharjoittaja tai palvelutehtäviä julkishallinnolle tarjoava yksikkö, joka toimeksiannosta arvioi tietoturvallisuustason Tietoturvallisuuden arviointikriteeristö vaatimuskriteeristö, jota sovelletaan tietoturvallisuuden arvioinnissa ja joihin arviointilaitos voi hakea akkreditointia ja Viestintäviraston hyväksyntää

7 Ohje 7 (45) Tietoturvallisuuden arviointiperuste Arvioinnin perustaksi otetut arviointilaitoslain 10 :n mukaiset tietoturvallisuutta koskevat vaatimukset Tietoturvallisuus tietojen salassapitovelvollisuuden ja käyttörajoitusten noudattamiseksi sekä tietojen saatavuuden, eheyden ja käytettävyyden varmistamiseksi toteutettavat hallinnolliset, tekniset ja muut toimenpiteet ja järjestelyt Tietoturvallisuusasetus valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa ( /681) Valtionhallinnon viranomainen valtion hallintoviranomainen, muu valtion virasto tai laitos taikka tuomioistuin tai lainkäyttöviranomainen Viranomaishyväksyntä Tietojärjestelmää, tietoliikennejärjestelyä tai tietojenkäsittely-ympäristöä koskeva toimivaltaisen turvallisuusviranomaisen virallinen hyväksyntä 1.3 Tietoturvallisuuden arviointitoiminnan tarkoitus Tietoturvallisuuden arviointi on väline sen toteamiseksi, täyttääkö arvioinnin kohde tietoturvallisuutta koskevat vaatimukset. Arvioinnin kohteena voi olla tietojenkäsittely-ympäristö ja sen toteutus, tietojärjestelmä tai tietoturvallisuuden hallintajärjestelmä. Mikäli arvioinnin tavoitteena on arviointilaitoksen antaman todistuksen saaminen ja viranomaishyväksynnän saavuttaminen, tietoturvallisuuden arviointimenettelyn avulla pyritään hankkimaan varmuus ja luottamus siitä, että tietoturvallisuudelle asetetut vaatimukset täyttyvät. Organisaation tietoturvallisuutta kehitettäessä arvioinnin tavoitteena voi olla myös sen selvittäminen, miltä osin tietoturvallisuusvaatimukset täyttyvät Viranomaisten yleiset tietoturvallisuusvaatimukset Valtionhallinnon viranomaisen on suunniteltava toimintansa tietoturvallisuus hyvän tiedonhallintatavan mukaisesti ja toteutettava tietoturvallisuusasetuksen edellyttämät toimenpiteet tietoturvallisuuden perustason toteuttamiseksi. Viranomaisten on suunniteltava ja toteutettava tietoturvallisuustoimenpiteet siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet. Suunnittelussa on pidettävä huolta siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta. Tietoturvallisuusasetus edellyttää, että valtionhallinnon viranomainen toteuttaa tietoturvallisuuden perustason vaatimukset mennessä ja luokiteltuja tietoja koskevat käsittelyvaatimuksen viiden vuoden kuluessa siitä, kun viranomainen on tehnyt luokittelupäätöksen. 1 Tietoturvallisuusasetus 2 luku Yleiset tietoturvallisuusvaatimukset

8 Ohje 8 (45) Viranomaisten tietojärjestelmien ja luokiteltujen asiakirjojen käsittelyympäristöjen arviointi Tietoturvallisuuden arviointi on keino viranomaisille varmistua siitä, että sen määräämisvallassa olevat ja hankittavaksi suunnittelemat tietojärjestelmät täyttävät tietoturvallisuutta koskevat vaatimukset. Arvioinnin avulla voidaan myös todentaa luokiteltujen tietojen käsittelyä koskevien vaatimusten täyttyminen tietyssä tietojenkäsittely-ympäristössä. Viranomaisten tietojärjestelmiin liittyvien tietoturvallisuuden arviointipalvelujen käyttämisestä säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annetussa laissa 2. Tietoturvallisuuden arvioinnilla viranomainen voi selvittää, täyttävätkö sen käytössä olevat tietojärjestelmät kansallisen lain mukaiset vaatimukset tai silloin, kun järjestelmässä käsitellään kansainvälistä luokiteltua tietoa, kansainväliset tietoturvallisuusvaatimukset. Lain tarkoituksena on muun muassa varmistaa, että valtionhallinnon viranomaiset käyttävät vain luotettavia ulkopuolisia tietoturvallisuuden arviointipalveluja lukien valtionhallinnon viranomaiset ovat voineet käyttää tietojärjestelmiensä arvioinnissa vain Viestintäviraston tai sen hyväksymän arviointilaitoksen suorittamaa arviointia. Viranomaisen hankintojen yhteydessä tietoturvallisuuden arviointia voidaan käyttää ennen salassa pidettävän tiedon luovuttamista sen todentamiseen, täyttääkö tarjouskilpailuun osallistuvan tarjoajan tai voittajaksi valitun toimittajan tietojenkäsittely-ympäristö vaaditun tietoturvallisuuden tason. Arviointia voidaan siten hyödyntää tietojärjestelmähankintojen ohella myös muissa hankinnoissa, joiden kilpailuttamisen yhteydessä tai sopimuskaudella käsitellään viranomaisen salassa pidettävää tietoa. Tietoturvallisuuden vaatimuksenmukaisuuden todentamista voidaan käyttää esimerkiksi puolustus- ja turvallisuushankinnoissa, joissa tietoturvallisuuteen liittyvillä vaatimuksilla voi olla olennainen merkitys hankinnan toteuttamisessa Yritysturvallisuuden edistäminen ja kehittäminen Tietoturvallisuuden arviointimenettely antaa yrityksille mahdollisuuden osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan arvioinnin avulla. Vaikka yrityksiä koskevan turvallisuusselvityksen laatiminen kuuluu viranomaiselle, voivat yritykset käyttää arviointilaitoksen suorittamaa tietoturvallisuuden arviointia varautuessaan kansainvälisiin hankintakilpailuihin sekä julkisiin puolustus- tai turvallisuushankintaa koskevaan tarjouskilpailuun, joissa edellytetään viranomaisen laatimaa turvallisuusselvitystä / Turvallisuusviranomaisen suorittama yhteisöturvallisuusselvitys voidaan tehdä, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa, osallistuu tällaista sopimusta edeltävään tarjouskilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana. Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jonka toisena osapuolena on toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin ja kun tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää

9 Ohje 9 (45) Yritys voi käyttää esimerkiksi Katakria (Tietoturvallisuuden auditointityökalu viranomaisille) tietoturvallisuuden kehittämisen keinona. Arviointi voidaan silloin toteuttaa myös säännöllisin väliajoin tai arvioinnin toimeksiantajan niin halutessa aina erityisen tarpeen ilmetessä esimerkiksi organisaatiomuutosten yhteydessä. 2 Tietoturvallisuustoiminnan organisointi ja vastuut 2.1 Arvioinnin toimeksiantaja Arvioinnin toimeksiantaja on taho, jonka aloitteesta arviointilaitoksen suorittama arviointi käynnistyy eli toimeksiantaja on arviointilaitoksen asiakas. Viranomaisen tietojärjestelmää koskevassa arvioinnissa arvioinnin toimeksiantajana on aina viranomainen, jonka määräämisvallassa järjestelmä on tai joka suunnittelee arvioinnin kohteena olevan järjestelmän hankintaa. Toimeksiantajana voi olla myös viranomaisen valtuuttama taho, joka on viranomaisen lukuun hankintoja tekevä taikka tietojenkäsittely- ja tietoliikennepalveluja tuottava tai niiden järjestämiseen liittyviä palvelutehtäviä hoitava taho. Arvioinnin toimeksiantaja vastaa arvioinnin tavoitteiden määrittämisestä, arviointiperusteena käytettävän arviointikriteeristön ja sovellettavan suojaustason valinnasta sekä arvioinnin kohteen määrittelystä yhteistyössä arviointilaitoksen kanssa. 2.2 Salassa pidettävää tietoa käsittelevä taho Salassa pidettävää tietoa käsittelevä taho voi olla viranomainen tai sen toimeksiannosta tietojenkäsittelytehtävää hoitava taho. Salassa pidettävää tietoa käsittelevä taho vastaa tietoturvallisuusvaatimusten noudattamisesta ja tietoturvallisuustoimenpiteiden toteuttamisesta arvioinnin kohteessa. 2.3 Tietoturvallisuuden arviointilaitos Tietoturvallisuuden arviointilaitos arvioi toimeksiannosta arvioinnin kohteen tietoturvallisuustason. Arviointilaitoksen tulee arvioinnissa selvittää, onko arvioinnin kohteen toiminnassa asianmukaisella tavalla toteutettu ne tietoturvallisuutta koskevat vaatimukset, jotka ovat otettu arvioinnin perustaksi. Arviointilaitos voi myös antaa arvioinnin kohteelle todistuksen sen osoittamiseksi, että arvioinnin kohteen toiminta ja toimitilat täyttävät ne tietoturvallisuusvaatimukset, jotka ovat otettu arvioinnin perustaksi. Arviointilaitoksen tulee toiminnassaan noudattaa lainsäädännössä, akkreditoinnissa sovellettavissa standardeissa, Viestintäviraston ohjeissa ja arviointilaitoksen hyväksymispäätöksessä asetettuja vaatimuksia. pääsyä erityissuojattavaan tietoaineistoon. Yhteisöturvallisuusselvitys voidaan tehdä myös silloin, kun elinkeinonharjoittaja osallistuu julkisista puolustus- ja turvallisuushankinnoista annetussa laissa (1531/2011) tarkoitettuun tarjouskilpailuun tarjoajana tai alihankkijana ja saa, laatii tai muutoin käsittelee tarjouskilpailun tai hankinnan toteuttamiseksi luokiteltuja tietoja (laki kansainvälisistä tietoturvallisuusvelvoitteista 1 ).

10 Ohje 10 (45) 2.4 Viestintävirasto Viestintävirasto toimii Suomen määrättynä turvallisuusviranomaisena ja kansallisena tietoturvaviranomaisena (NCSA, National Communications Security Authority), joka vastaa turvaluokitellun aineiston sähköiseen tiedonsiirtoon ja -käsittelyyn liittyvistä turvallisuusasioista. Viestintävirasto vastaa muun muassa salausteknisen aineiston jakeluverkon hallinnoinnista, salaustuotteiden hyväksynnästä turvaluokitellun tiedon suojaamiseksi Suomessa, kansainvälistä turvallisuusluokiteltua tietoa käsittelevien tietojärjestelmien hyväksynnästä sekä kansallisen hajasäteilytoiminnan koordinoinnista ja ohjauksesta. Viestintävirasto toimii myös viranomaisten tietojärjestelmien hyväksyntäviranomaisena sekä vastaa tietoturvallisuuden arviointilaitosten hyväksymisestä, ohjaamisesta ja valvonnasta. 2.5 FINAS-akkreditointipalvelu Turvallisuus- ja kemikaaliviraston akkreditointiyksikkö eli FINASakkreditointipalvelu toimii Suomessa kansallisena akkreditointielimenä ja vastaa akkreditoinnista eli arviointielinten pätevyyden toteamisesta yhdenmukaisten arviointiperusteiden mukaisesti. Akkreditoinnin tarkoituksena on varmistaa vaatimustenmukaisuuden arviointipalvelujen luotettavuus ja kansainvälinen hyväksyttävyys. FINAS-akkreditointipalvelu arvioi osana arviointilaitoksen hyväksymismenettelyä tietoturvallisuuden arviointilaitoksen toiminnan riippumattomuuden, henkilökunnan koulutuksen ja kokemuksen sekä sen, että laitoksella on toiminnan edellyttämät laitteet, välineet ja järjestelmät. FINASakkreditointipalvelu vastaa myös akkreditoimiensa laitosten pätevyyden seurannasta. 2.6 Valtiovarainministeriö Valtiovarainministeriö ohjaa ja yhteen sovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ohjaus- ja yhteensovittamisroolinsa toteuttamiseksi valtiovarainministeriö asettaa ja ylläpitää toimialallaan yhteistyön ohjaamiseen, kehittämiseen ja koordinaatioon tarvittavia toimielimiä. Valtiovarainministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden linjaukset. Valtionvarainministeriö voi pyytää valtionhallinnon tietoturvallisuudesta annettujen säännösten täytäntöönpanon seuraamiseksi sekä niiden kehittämiseksi Viestintävirastolta selvityksiä valtionhallinnon viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta.

11 Ohje 11 (45) 2.7 Kansallinen turvallisuusviranomaisorganisaatio Ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena. Kansallisen turvallisuusviranomaisen tehtävänä on erityisesti ohjata ja valvoa, että ulkomailta Suomeen luovutetut niin sanotut erityissuojattavat tietoaineistot suojataan ja niitä käsitellään asianmukaisesti. Kansallinen turvallisuusviranomainen vastaa kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevien ohjeiden antamisesta. Puolustusministeriö, pääesikunta, suojelupoliisi ja Viestintävirasto toimivat kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina ja huolehtivat henkilöiden ja elinkeinonharjoittajien luotettavuuden selvittämisestä. Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen asiantuntijoina henkilöstö-, yhteisö- ja toimitilaturvallisuutta koskevissa asioissa sekä Viestintävirasto tietojärjestelmien ja tietoliikenteen tietoturvallisuutta koskevissa asioissa. Kuva 1. Tietoturvallisuuteen liittyvät toimijat 3 Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointiperusteet Tietoturvallisuuden arviointiperusteilla tarkoitetaan niitä tietoturvallisuutta koskevia vaatimuksia, joiden perusteella tietoturvallisuuden arviointi suoritetaan. Näitä arviointiperusteita ovat

12 Ohje 12 (45) 1) lailla tai asetuksella säädetyt viranomaisen toimintaa koskevat tietoturvallisuusvaatimukset ja valtiovarainministeriön tietoturvallisuutta koskevat ohjeet; 2) kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen antamat kansainvälisten tietoturvavelvoitteiden toteuttamista koskevat ohjeet; 3) Euroopan unionin tai muun kansainvälisen toimielimen antamat tietoturvallisuutta koskevat ohjeet; 4) julkaistut ja yleisesti tai alueellisesti sovelletut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet; ja 5) vahvistettuun standardiin sisältyvät tietoturvallisuutta koskevat vaatimukset. 3.1 Viranomaisten toimintaa koskevat kansalliset tietoturvallisuusvaatimukset Tietoturvallisuuden arviointi voi perustua kansallisessa lainsäädännössä eli Suomen lailla tai asetuksella säädettyihin viranomaisen toimintaa koskeviin tietoturvallisuusvaatimuksiin ja valtiovarainministeriön tietoturvallisuutta koskeviin ohjeisiin. Suomalaisten viranomaisten asiakirjojen salassapidosta ja hyvästä tiedonhallintatavasta säädetään julkisuuslaissa ja julkisuusasetuksessa. Hyvän tiedonhallintatavan toteuttamiseksi viranomaisten on huolehdittava asiakirjojen ja tietojärjestelmien sekä niihin liittyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä. Viranomaisen on hyvän tiedonhallintatavan toteuttamiseksi myös selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun ja suojaan sekä tietojärjestelmien turvallisuuteen vaikuttavat uhat sekä niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden kustannukset sekä muut vaikutukset. Lisäksi viranomaisen on selvitysten perusteella arvioitava ja toteutettava tarvittavat toimenpiteet hyvän tiedonhallintatavan toteuttamiseksi. 4 Tietoturvallisuusasetuksessa säädetään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista eli suojaustasojen mukaisista käsittelyvaatimuksista. Asetus edellyttää, että tietoturvallisuustoimenpiteet suunnitellaan ja toteutetaan siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet niiden laatimisesta tai vastaanottamisesta arkistointiin tai hävittämiseen mukaan lukien asiakirjan luovuttaminen ja siirtäminen sekä käsittelyn valvonta. Suunnittelussa on myös huolehdittava siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, 4 Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta ( /1030)

13 Ohje 13 (45) kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta eli kun yksityinen taho käsittelee viranomaisen asiakirjoja. Tietoturvallisuusasetuksen mukaisia vaatimuksia täsmennetään valtiovarainministeriön ohjeilla, jotka koskevat tietoturvallisuusasetuksen täytäntöönpanoa. Tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanoa koskevia määritettyjä ohjeita (VAHTI 2/2010, VAHTI 3/2010, VAHTI 3/2012, VAHTI 1/2013, VAHTI 2/2013, VAHTI 5/2013) sovelletaan tietoturvallisuuden arviointiperusteena silloin, kun arvioinnin kohde käsittelee Suomen viranomaisen salassa pidettävää tietoa eli kun salassapito perustuu julkisuuslakiin. Näissä tilanteissa on mahdollista käyttää arviointiperusteena vaihtoehtoisesti Katakria (katso luku 3.2) tai molempia. Käytännön tasolla vaatimuseroa ei VAHTI:n ja Katakrin välillä ole, vaan eroavaisuus ilmenee lähinnä esitystavassa. 3.2 Kansainvälisiin tietoturvavelvoitteisiin perustuvat tietoturvallisuusvaatimukset Kun taho, jolla on määräysvalta salassa pidettävään tietoon, on toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin ja Suomella on tietoturvallisuusvaltiosopimus kyseisen toisen valtion tai toimielimen kanssa, sovelletaan tiedon salassapitoon ja tietoturvallisuustoimenpiteisiin lakia kansainvälisistä tietoturvallisuusvelvoitteista 5. Tiedon käsittelyyn sovelletaan tällöin kansallisten tietoturvallisuusvaatimusten lisäksi aina soveltuvaan valtiosopimukseen tai muuhun Suomea koskevaan velvoitteeseen eli kansainväliseen tietoturvallisuusvelvoitteeseen sisältyviä määräyksiä. 6 Erityissuojattavaa tietoaineistoa eli kansainvälisen tietoturvallisuusvelvoitteen mukaisesti turvallisuusluokiteltuja asiakirjoja ja materiaaleja luotaessa, kopioitaessa, siirrettäessä, jaettaessa, säilytettäessä, hävitettäessä tai muutoin käsiteltäessä on pidettävä huolta, että tietoaineiston suojaamisesta voidaan huolehtia tietoaineiston turvallisuusluokkaa vastaavalla tavalla. Erityissuojattava tietoaineisto on säilytettävä tiloissa, joissa asiakirjojen ja niihin sisältyvien tietojen suojaamisesta voidaan huolehtia valtiosopimuksessa edellytetyllä tavalla. Kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvien tietoturvallisuusvaatimusten todentamisessa tietoturvallisuuden arviointiperusteena käytetään Katakria. Katakri on kansallisen turvallisuusviranomaisen (NSA, National Security Authority) julkaisema tietoturvallisuuden auditointityökalu viran- 5 Laki /588 6 Kansainvälisellä tietoturvallisuusvelvoitteella tarkoitetaan sellaista Suomea sitovaan kansainväliseen sopimukseen sisältyvää määräystä sekä sellaista muuta Suomea koskevaa velvoitetta, jota Suomen on noudatettava ja joka koskee erityissuojattavan aineiston suojaamiseksi tarvittavia toimenpiteitä. Tällaisia velvoitteita ovat Suomea sitovien turvallisuusluokitellun tiedon suojaamista koskevien valtiosopimusten ohella muun muassa neuvoston päätös EU:n turvallisuusluokiteltujen tietojen suojaamista koskevista turvallisuussäännöistä (Neuvoston päätös (2013/488/EU). Suomea sitovat valtiosopimukset: ks.

14 Ohje 14 (45) omaisille. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset sekä esimerkkejä mahdollisista toteutusmalleista. Siihen kootut vaatimukset perustuvat voimassa olevaan lainsäädäntöön ja Suomea sitoviin kansainvälisiin tietoturvallisuusvelvoitteisiin. Kyseistä kriteeristöä käytetään vaatimustasona niissä arvioinneissa, joiden tarkoituksena on todentaa, täyttyvätkö kansainväliset - tai kansalliset - tietoturvallisuusvaatimukset. Erityissuojattavan tietoaineiston käsittely edellyttää viranomaishyväksyntää (katso luku 5.5). Kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvien turvallisuusselvitysten tekemisestä vastaa aina toimivaltainen turvallisuusviranomainen. Kuva 2. Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointi 3.3 Muut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet ja vahvistettuun standardiin perustuvat vaatimukset Tietoturvallisuuden arviointi voi perustua myös muihin kuin lainsäädännöstä johtuviin vaatimuksiin. Tietoturvallisuustasoa osoittavana perustana voidaan käyttää julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita taikka vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia. Tällainen vahvistettu standardi on esimerkiksi tietoturvallisuuden hallintajärjestelmiä koskeva kansainvälinen standardi ISO , joka toimii mallina tietotur- 7 ISO/IEC 27001: 2005 Information technology. Security techniques. Information security management systems. Requirements

15 Ohje 15 (45) vallisuuden hallintajärjestelmän kehittämiselle, toteuttamiselle, käyttämiselle, valvomiselle, katselmoinnille, ylläpitämiselle ja parantamiselle. 4 Arviointilaitoksen hyväksyminen 4.1 Vaatimukset tietoturvallisuuden arviointilaitokselle Tietoturvallisuuden arviointilaitoksen hyväksymisen edellytyksenä on, että laitos täyttää arviointilaitoslain 5 :n mukaiset hyväksymiskriteerit. Arviointilaitoksen akkreditoinnissa sovelletaan tätä ohjetta sekä standardeiden ISO ja ISO vaatimuksia. Kyseisissä standardeissa yksilöidään vaatimukset tietoturvallisuuden johtamisjärjestelmiä auditoiville ja sertifioiville elimille Johtamis- ja tietoturvallisuuden hallintajärjestelmiä koskevien vaatimusten soveltaminen tietojärjestelmiin Akkreditointimenettelyssä sovellettavat standardit ISO ja ISO koskevat johtamisjärjestelmien ja tietoturvallisuuden hallintajärjestelmien sertifiointia. Tietoturvallisuuden arviointilaitokset arvioivat kuitenkin myös tietojenkäsittely-ympäristöjen sekä yksittäisten tietojärjestelmien tietoturvallisuutta. Niiltä osin kuin näissä standardeissa asetetaan vaatimuksia koskien johtamisjärjestelmää, hallintajärjestelmää (management system) tai tietoturvallisuuden hallintajärjestelmää (information security management system, ISMS), sovelletaan näitä vaatimuksia soveltuvin osin myös tietokäsittely-ympäristöjen ja tietojärjestelmien arviointiin. Tällaisia vaatimuksia ovat esimerkiksi vaatimukset koskien konsultointia ja puolueettomuuden hallintaa 8, pätevyyttä 9, muutoksista ilmoittamista 10 ja auditointiprosessia Toiminnallinen ja taloudellinen riippumattomuus Tietoturvallisuuden arviointilaitoksen tulee olla toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteena olevista tahoista. Puolueettomuutta koskevat periaatteet ja puolueettomuuden hallintaa koskevat vaatimukset on määritelty arviointilaitosten akkreditointimenettelyssä sovellettavissa standardeissa ISO ja ISO 27006, jotka sisältävät muun muassa vaatimuksia liittyen hallintajärjestelmien konsultointitoimintaan. Arviointilaitoksen on noudatettava myös viranomaistoimintaa koskevia hyvän hallinnon vaatimuksia. Näihin kuuluvat muun muassa esteellisyyssäännökset, jotka täydentävät arviointilaitoksen riippumattomuusvaatimuksia. 8 Esimerkiksi ISO Johtamisjärjestelmäkonsultointi, 5.2 Puolueettomuuden hallinta, ISO Management of impartiality 9 Esimerkiksi ISO Johdon ja henkilöstön pätevyys, ISO Resource requirements 10 ISO Asiakkaan tekemistä muutoksista tiedottaminen 11 Esimerkiksi ISO Auditointisuunnitelma, ISO Auditointiajan määrittäminen, ISO Auditointiryhmien tehtävien viestiminen, ISO General requirements, ISO Inital audit and certification.

16 Ohje 16 (45) Tietoturvallisuuden arviointilaitoksen riippumattomuus edellyttää, että laitos ei tarjoa sellaisia konsultointipalveluja, jotka koskevat tietoturvallisuuden hallintajärjestelmiä eikä myöskään konsultointia koskien tietojärjestelmiä tai tietoliikennejärjestelmiä. Riippumattomuutta koskevat vaatimukset koskevat arviointilaitoksen toimintaa, eikä riippumattomuuden turvaamiseksi siten riitä pelkästään se, että riippumattomuus toteutuu yksittäisen arviointilaitoksen lukuun työskentelevän henkilön kohdalla. Arviointilaitoksen tulee myös olla erillinen ja riippumaton sellaisista tahoista, jotka suorittavat arvioinnin kohteessa tietoturvallisuuden hallintajärjestelmän, tietojenkäsittely-ympäristön tai tietojärjestelmän sisäisiä auditointeja tai arviointeja. Laitoksen on puolueettomuuden hallintaa koskevien vaatimusten mukaisesti aina tunnistettava, analysoitava ja dokumentoitava mahdolliset arviointitoiminnan eturistiriidat ja puolueettomuutta uhkaavat tekijät. Akkreditointistandardi ISO 27006:ssa on lueteltu toimintoja, jotka ovat sallittuja arviointilaitoksille ilman, että niiden katsottaisiin olevan konsultointia tai rikkovan puolueettomuutta koskevia vaatimuksia. Tietoturvallisuuden arviointilaitos voi järjestää sen pätevyysalueeseen liittyvää koulutusta tai laitoksen lukuun toimiva henkilö voi osallistua luennoitsijana tällaiseen koulutukseen, kun koulutuksen sisältö koostuu yleisestä informaatiosta eikä sisällä yritys- tai asiakaskohtaista neuvontaa. Koulutuksen tulee myös olla julkisesti saatavilla ja avoin kaikille halukkaille osallistujille. Lisäksi toiminnot, joiden tavoitteena on määritellä valmius arviointiin, ovat tietyin edellytyksin sallittuja arviointilaitoksille. Auditointivalmiuden selvittäminen ei saa johtaa suosituksiin tai neuvontaan, jotka voidaan katsoa konsultoinniksi tai uhkaavan puolueettomuutta, ja arviointilaitoksen tulee pystyä osoittamaan, etteivät tällaiset toiminnot ole muutenkaan ristiriidassa puolueettomuutta koskevien vaatimusten kanssa. Valmiuden määrittämisellä ei voida perustella arviointiajan lyhentämistä vaan sen tarkoituksena on ainoastaan selvittää, onko arvioinnin kohteen kypsyystaso riittävä arviointiin. Auditointivalmiuden selvittämiseksi tehtävän esiarvioinnin osalta katso luku Arviointilaitos voi arvioinnin yhteydessä yksilöidä ja osoittaa arvioinnin kohteelle mahdollisuuksia parantaa sen toimintaa tai esittää muita huomioita, joiden tarkoituksena on arvioinnin kohteen toiminnan kehittäminen, kun tällaiset huomiot tulevat esille arvioinnin ja arviointikäyntien yhteydessä. Arviointilaitoksen tulee kuitenkin pidättyä tiettyjen konkreettisten ratkaisuehdotusten tarjoamisesta. Arviointilaitoksen neuvontavelvollisuuden osalta katso luku Riippumattomuusvaatimusten lisäksi arviointilaitoksen on toiminnassaan noudatettava hallintolain mukaisia esteellisyyssäännöksiä, jotka ovat luonteeltaan henkilökohtaisia eli tiettyä arviointilaitoksen lukuun työskentelevää henkilöä koskevia esteellisyysperusteita. Nämä esteellisyysvaatimukset kohdistuvat kaikkiin arviointilaitoksen lukuun työskenteleviin henkilöihin riippumatta siitä, ovatko nämä henkilöt työsopimussuhteen perusteella lai-

17 Ohje 17 (45) toksen palveluksessa vai perustuuko työskentely esimerkiksi toimeksiantosopimukseen Laitoksen henkilökunnan pätevyys ja toiminnan edellyttämät järjestelmät Tietoturvallisuuden arviointilaitoksen tulee standardien ISO ja ISO mukaisesti varmistua siitä, että sillä on käytössään jatkuvasti sellaiset henkilö- ja muut resurssit, joilla turvataan luotettavan ja pätevän tietoturvallisuuden arviointitehtävän suorittaminen. Pätevyys edellyttää todennettua hyvää teknistä osaamista ja riittävän laaja-alaista kokemusta arviointitoimintaan kuuluvissa tehtävissä, mistä osoituksena voi olla esimerkiksi tietoturvallisuusalaan liittyvä koulutus ja riittävä työkokemus arviointitoiminnassa. Tietty koulutusohjelma tai tutkinto ei ole ehdoton vaatimus arviointilaitoksen henkilöstölle. Pätevyyden arvioinnissa otetaan huomioon kaikki arviointilaitokseksi hakevan esittämä näyttö, jonka perusteella arvioidaan, täyttyvätkö resurssivaatimukset. Arviointilaitoksella on oltava käytettävissään myös toiminnan edellyttämät laitteet, välineet, menetelmät ja järjestelmät, jotka ovat tarpeen tietoturvallisuuden arviointitehtävän suorittamiseen. Pätevyyden arvioinnissa arviointilaitoksen tulee uskottavasti osoittaa, että sillä on riittävät hallinnolliset ja tekniset todennusmenetelmät haettavaan pätevyysalueeseen liittyvien arviointien suorittamiseksi. Kyky tehdä Katakri- ja VAHTI-arviointeja on osoitettava kaikkien näihin kriteeristöihin kuuluvien vaatimusten osalta, ja nämä menettelyt tulee käydä ilmi myös arviointilaitoksen toimintaa koskevista ohjeista. Osana pätevyyden arviointia arviointilaitoksen tulee osoittaa myös, että sillä on käytössään arviointitoiminnan edellyttämät laitteet, välineet ja järjestelmät. Arviointilaitoksella tulee olla käytössään sellaiset laitteet, välineet ja järjestelmät, joilla voidaan suorittaa arviointitoimeksiannot sekä suojata toimeksiantojen yhteydessä saatavat tiedot. Tietojenkäsittelyn turvallisuutta koskevat vaatimukset todennetaan Katakri-kriteeristön perusteella Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus Tietoturvallisuuden arviointilaitoksen vastuuhenkilöiden tulee olla luotettavaksi todettuja henkilöitä. Vastuuhenkilöiksi katsotaan laitoksen kaupparekisteriotteessa ilmoitetut henkilöt ja laitoksen ylin johto 12. Arviointilaitos käsittelee arviointitoiminnan yhteydessä arvioinnin kohteiden salassa pidettävää tietoa, ja laitoksella tulee olla kyky käsitellä tällaista tietoa sille asetettujen suojausvaatimusten mukaisesti. Arviointilaitoksella on oltava luotettavaksi arvioitu ja valvottu menetelmä, jonka avulla laitoksen toimitilojen ja tietojenkäsittelyn turvallisuus varmistetaan. Luottamuksellisen tiedon turvallista käsittelyä koskevat vaatimukset todennetaan Katakrin kulloinkin voimassa olevan version avulla. Arviointilaitoksen on täytettävä toiminnassaan Katakrin turvallisuusjohtamista, fyysistä 12 Henkilöt, jotka vastaavat ISO kohdan mukaisista tehtävistä.

18 Ohje 18 (45) turvallisuutta sekä teknistä tietoturvallisuutta koskevien osa-alueiden mukaiset vaatimukset. Vaatimusten täyttäminen tarkoittaa käytännössä muun muassa sitä, että laitos on määritellyt sen turvallisuustoimintaa koskevat periaatteet, turvallisuusorganisaation sekä siihen liittyvät vastuut, sillä on riittävät menetelmät riskien tunnistamiseksi, arvioimiseksi ja poikkeustilanteiden hallitsemiseksi. Laitoksen toimitilojen on puolestaan täytettävä Katakrissa luetellut vaatimukset koskien aluetta, fyysisiä rakenteita ja turvallisuusteknisiä järjestelmiä. Henkilöstöturvallisuusvaatimukset edellyttävät muun muassa sitä, että arviointitoiminnassa käytetään vain sellaisia henkilöitä, jotka ovat antaneet asianmukaiset salassapitositoumukset sekä läpäisseet riittävät turvallisuusselvitykset 13. Arviointilaitos voi toiminnassaan käyttää vain sellaisia henkilöitä, joiden osalta turvallisuusselvitystä tehtäessä ei ole tullut esiin mitään sen tarkoituksen kannalta merkityksellistä tietoa. Mikäli turvallisuusselvityksen perusteella tulee esiin tietoja, on arviointilaitoksen aina pyydettävä Viestintävirastolta etukäteinen kirjallinen lausunto henkilöstövaatimusten täyttymisestä ennen kyseisen henkilön käyttämistä arviointitoiminnassa. Kun arviointilaitos hakee pätevyysalueekseen Katakria tai VAHTI:a, sovelletaan sen omaan toimintaan lähtökohtaisesti yhtä suojaustasoa korkeampaa vaatimustasoa, kuin mille laitos hakee hyväksyntää. 14 Jos hyväksyntää haetaan esimerkiksi suojaustasolle IV, arviointilaitoksen tietojenkäsittelyn turvallisuuden todentamisessa käytetään Katakrin III-tason vaatimuksia. Tilanteissa, joissa haettavaan pätevyysalueeseen ei sisälly Katakria tai VAHTI:a, tietojenkäsittelyn turvallisuus todennetaan käyttäen Katakrin IVtason vaatimuksia. Turvalliseen tiedonkäsittelyyn liittyen arviointilaitoksen tulee huomioida tietojenkäsittelyssään myös akkreditointistandardien vaatimukset koskien luottamuksellisuutta. Lisäksi arviointilaitoksen on varmistuttava siitä, että tiedonkäsittelyvaatimuksia noudatetaan riippumatta siitä, kuka arviointilaitoksen lukuun tekevä henkilö tai taho käsittelee salassa pidettävää tietoa. Vaatimukset koskevat yhtä lailla omaa henkilöstöä kuin tahoa, joka hoitaa arviointiin liittyviä tehtäviä esimerkiksi toimeksiantosopimuksen perusteella. 13 Arviointilaitoksen on haettava toimintaan osallistuvista henkilöistä turvallisuusselvitys sen perusteella, mitä salassa pidettävää tai turvallisuusluokiteltua tietoa arviointitoimintaan osallistuva henkilö tulee käsittelemään. Turvallisuusselvitysten osalta otetaan huomioon myös salassa pidettävän tai turvallisuusluokiteltujen tietojen määrä. 14 Arviointilaitoksella tulee olla kyky käsitellä loppuasiakkaansa luokittelemaa tietoa sille asetettujen suojausvaatimusten mukaisesti. Arviointilaitoksen arvioidessa esimerkiksi loppuasiakkaansa IV-tason järjestelmää, tulee arviointilaitos saamaan arviointiprosessin aikana asiakkaansa luokittelemaa ko. järjestelmää koskevaa tietoa (esimerkiksi verkkokuvat ja tiedot kytkennöistä muihin järjestelmiin). Järjestelmien turvallisuustoteutuksiin liittyvät tiedot luokitellaan eräissä tapauksissa pykälää korkeammalle, kuin mikä on korkein järjestelmässä käsiteltävä tieto. Myös eri loppuasiakkaiden tiedoista koostuvan tietovarannon suojaustaso on usein tulkittavissa kasautumisvaikutuksesta johtuen yksittäisten tietojen suojaustasoa korkeammaksi.

19 Ohje 19 (45) Asianmukaiset ohjeet toimintaa ja sen seurantaa varten Tietoturvallisuuden arviointilaitoksella tulee olla ja sen tulee ylläpitää ohjeistusta koskien arviointitoimintaa ja toiminnan seurantaa. Ohjeistuksen tulee ottaa huomioon arviointilaitostoimintaan liittyvät lakisääteiset ja muut vaatimukset sekä tämän ohjeen sisältö. Lisäksi arviointilaitoksen tietoturvallisuusohjeistuksen on täytettävä Katakrissa kuvatut vaatimukset. Arviointilaitoksen tulee varmistua siitä, että sen lukuun työskentelevät henkilöt ja tahot saatetaan tietoisiksi tietoturvallisuuden arviointitoimintaan liittyvistä vaatimuksista ja velvollisuuksista. Tämän varmistamiseksi arviointilaitoksen ohjeistuksessa tulee ottaa kantaa esimerkiksi siihen, miten laitos varmistuu siitä, että sen henkilöstö ja muut laitoksen lukuun työskentelevät henkilöt ovat tietoisia arviointilaitoksen yleisestä ja tietoturvallisuuteen liittyvästä ohjeistuksesta ja ymmärtävät ohjeistuksen sisällön Hyvää hallintoa koskevien säännösten noudattaminen Hyväksytty tietoturvallisuuden arviointilaitos hoitaa toiminnassaan julkista hallintotehtävää, minkä vuoksi sen on arviointilaitoslaissa tarkoitettuja tehtäviä suorittaessaan noudatettava hyvää hallintoa koskevia hallintolaissa (434/2003), julkisuuslaissa ja kielilaissa (423/2003) säädettyjä viranomaisvaatimuksia Hallintolaki Hallintolaissa säädetään hyvän hallinnon perusteista, joita hyväksyttyjen arviointilaitosten on noudatettava toiminnassaan. Hyvän hallinnon perusteet ovat toimintaa koskevia yleisiä laadullisia vähimmäisvaatimuksia, jotka arviointilaitoksen tulee huomioida toiminnassaan. Lisäksi jokaisen arviointilaitoksen lukuun työskentelevän on omatoimisesti huomioitava nämä vaatimukset yksittäisissä arvioinneissa. Arviointilaitoksen on kohdeltava asiakkaitaan tasapuolisesti sekä käytettävä toimivaltaansa lain mukaan hyväksyttäviin tarkoituksiin. Arviointilaitoksen toiminnalta edellytetään muun muassa puolueettomuutta, tasapuolisuutta ja luottamuksensuojaa. Arviointilaitoksen tulee toiminnassaan lisäksi huomioida hallintolain menettelylliset oikeusperiaatteet, jotka koskevat esteellisyyttä, asianosaisen eli arvioinnin toimeksiantajan ja arvioinnin kohteen kuulemista ja perusteluvelvollisuutta liittyen arvioinnissa tehtyihin havaintoihin ja johtopäätöksiin Hallinnon oikeusperiaatteet Hallinnon oikeusperiaatteilla tarkoitetaan yhdenvertaisuutta, objektiivisuutta, tarkoitussidonnaisuutta, suhteellisuutta ja luottamuksensuojaa. Nämä periaatteet ovat osittain päällekkäisiä ISO standardin mukaisten periaatteiden kanssa. Yhdenvertaisuudella tarkoitetaan sitä, että arviointilaitoksen on kohdeltava kaikkia asiakkaitaan samanlaisissa tilanteissa samalla tavalla eli tasapuoli-

20 Ohje 20 (45) sesti. Tarkoitussidonnaisuudella tarkoitetaan yleisesti ottaen toiminnan hyväksyttäviä tarkoitusperiä ja kiellettyjen tarkoitusten toteuttamisen välttämistä. Tarkoitussidonnaisuus pitää sisällään esimerkiksi sen, että arviointitoiminnassa saatuja tietoja käytetään vain etukäteen määriteltyihin ja hyväksyttyihin tarkoituksiin. Objektiivisuudella puolestaan tarkoitetaan arviointitoiminnan yhteydessä muun muassa esitettyjen näkemysten ja kannanottojen objektiivisuutta eli subjektiivisten asenteiden poissulkemista. Lisäksi objektiivisuus edellyttää, että esitetyt kannanotot vastaavat mahdollisimman pitkälle tosiasioita, mikä osaltaan edistää arviointilaitoksen toimintaan kohdistuvaa luottamusta. Arviointilaitoksen ja sen lukuun toimivien henkilöiden toiminnan on myös oltava suhteellisuusperiaatteen mukaista eli laitoksen toimenpiteiden on oltava oikeassa suhteessa tavoiteltuun päämäärään nähden. Tämä on huomioitava erityisesti niissä tilanteissa, joissa arviointitehtävässä käsitellään henkilötietoja tai yksityisyyden suojaan kuuluvia tietoja. Tällaisia tietoja ei pääsääntöisesti tule käsitellä, ellei se ole välttämätöntä tehtävän suorittamisen kannalta. Silloinkin tulee varmistua siitä, että tietojen käsittely on lain mukaan mahdollista ja se tapahtuu lain edellyttämällä tavalla. Luottamuksensuoja liittyy oikeusvarmuuteen ja pitää sisällään erityisesti vaatimuksen arviointitoiminnan johdonmukaisuudesta. Lisäksi se tarkoittaa laitoksen tuottamien asiakirjojen ja niiden sisältämien tietojen julkista luotettavuutta ja oikeellisuutta, kunnes ne nimenomaisesti osoitetaan vääriksi. Luottamusvaatimus tarkoittaa myös perusteltua arviointilaitostoimintaan kohdistuvaa odotusta siitä, että laitos toimii ennakoitavissa olevalla tavalla ja arviointilaitoksen antamiin neuvoihin tai muuhun informaatioon voi luottaa Palveluperiaate ja palvelun asianmukaisuus Palveluperiaatteella tarkoitetaan sitä, että arviointilaitoksen asiakas saa asianmukaisesti laitoksen tarjoamia palveluja. Palvelut on järjestettävä asiakkaan näkökulmasta ja palveluiden on oltava laadultaan hyviä Neuvonta ja hyvän kielenkäytön vaatimus Arviointilaitoksella on neuvontavelvollisuus sen pätevyysalueeseen kuuluvien tietoturvallisuuden arviointitehtävien osalta. Laitoksen on annettava asiakkailleen tarpeen mukaan arviointipalveluihin liittyvää neuvontaa sekä vastattava palveluja koskeviin kysymyksiin ja tiedusteluihin. Neuvontavelvollisuus kattaa lähinnä arviointitoimeksiantoa koskevat menettelyneuvot, eikä se ulotu sisällölliseen neuvontaan. Tässä yhteydessä arviointilaitoksen ja sen lukuun työskentelevien henkilöiden onkin pidättäydyttävä neuvonnasta, joka on konsultointia ja vaarantaa riippumattomuuden. Arviointilaitoksen tulee antaa neuvoja, ohjeita ja opastusta maksutta, mikäli niistä aiheutuu vain vähäisiä kustannuksia. Neuvonnalta ei varsinaisesti edellytetä ehdotonta julkista luotettavuutta, mutta arviointilaitoksen tulee pyrkiä mahdollisimman virheettömiin neuvoihin ja opastukseen.

21 Ohje 21 (45) Hyvän kielenkäytön vaatimus tarkoittaa asiallista, selkeää ja ymmärrettävää kieltä. Hyvää kieltä on käytettävä sekä suullisessa että kirjallisessa esityksessä ja arviointilaitoksen tuottamat asiakirjat on laadittava hyvällä ja ymmärrettävällä kielellä Selvittämisvelvollisuus ja päätöksen perusteleminen Arviointilaitostehtävää hoidettaessa arviointilaitoksen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä ja pyydettävä arvioinnin kohteelta tarvittavat tiedot arvioinnin suorittamiseksi. Arviointitoimeksiantoa ei voida suorittaa pintapuolisen arviointiaineiston pohjalta. Selvittäminen voi perustua suulliseen tai kirjalliseen selvitykseen, mutta arviointilaitoksen on kuitenkin pystyttävä osoittamaan jälkikäteen, että tehdyt havainnot perustuvat riittävään selvitykseen. Perusteluvelvollisuus edellyttää sitä, että arvioinnissa tehtävät havainnot perustellaan riittävällä tarkkuudella siten, että arvioinnin toimeksiantaja saa tiedot siitä, miten tiettyyn lopputulokseen on päädytty ja mihin tehdyt johtopäätökset perustuvat. Perusteluissa on kiinnitettävä huomiota johdonmukaisuuteen ja selkeyteen sekä saatujen selvitysten tarkkaan arviointiin. Mikäli arviointilaitos esimerkiksi toimeksiantajan reklamoinnin johdosta havaitsee jälkikäteen, että sen tekemässä arvioinnissa on puutteita tai virheitä liittyen asian selvittämisen, havaintojen perustelemisen tai muun syyn takia, tulee sen mahdollisuuksien mukaan korjata havaitut puutteet tai virheet. Arviointitehtävään liittyvää selvittämis- ja perusteluvelvollisuutta konkretisoidaan luvuissa 5.3 Arviointimenettelyn vaiheet, 5.4 Arviointimenetelmät sekä liitteessä 2 Arviointiraporttimalli. Lisäksi standardi ISO sisältää vaatimuksia koskien tiedon keräämistä ja todentamista, poikkeamien syiden selvittämistä, auditointihavaintojen yksilöintiä ja kirjaamista, valituksiin vastaamista ja valituksia koskevasta käsittelyprosessista sekä siitä tiedottamisesta Esteellisyys Arviointilaitoksen lukuun työskentelevä henkilö ei saa osallistua arviointitoimeksiantoon, jos häntä koskee hallintolain 28 :ssä mainittu esteellisyysperuste. Esteellisyyttä koskeva asia on ratkaistava viipymättä arviointitoimeksiannon alkuvaiheessa. Esteellisyyden ratkaisee henkilö itse. Arviointilaitos ja sen vastuuhenkilöt ovat kuitenkin vastuussa riippumattomuutta koskevien vaatimusten täyttymisestä Julkisuuslaki Julkisuuslaissa säädetään viranomaisten julkisista asiakirjoista sekä asiakirjojen salassapidosta, salassa pidettäviin tietoihin liittyvästä vaitiolovelvollisuudesta ja hyväksikäyttökiellosta sekä hyvästä tiedonhallintatavasta. Julkisuuslain lähtökohta on julkisuusperiaate, mutta arviointilaitoksen tulee suojata salassa pidettävää tietoa (kuten liikesalaisuudet ja turvajärjestelyjä

22 Ohje 22 (45) koskevat salassa pidettävät tiedot) tietoturvallisuus- ja tiedonkäsittelyä koskevien vaatimusten edellyttämällä tavalla (vertaa luku 4.1.4). Rangaistus julkisuuslain mukaisen salassapitovelvollisuuden ja hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain 40 luvun 5 :n mukaan, jollei teko ole rangaistava 38 luvun 1 tai 2 :n mukaan tai jollei siitä muualla laissa säädetä ankarampaa rangaistusta. 4.2 Arviointilaitokseksi hakeutuminen Akkreditoinnin hakeminen Ennen varsinaisen hyväksynnän hakemista Viestintävirastolta, arviointielimen on haettava FINAS-akkreditointipalvelulta akkreditointia eli pätevyyden arviointia. Arviointielimen akkreditointiin sovelletaan yhdenmukaisia kansainvälisiä ja eurooppalaisia arviointiperusteita. Tietoturvallisuuden arviointilaitoksen pätevyyden arvioinnissa sovelletaan standardien ISO ja ISO vaatimuksia sekä tässä ohjeessa tarkemmin kuvattuja vaatimuksia Arviointilaitoksen pätevyysalue Tietoturvallisuuden arviointilaitoksen on hakiessaan pätevyyden arviointia ilmoitettava, mille pätevyysalueelle se hakee akkreditointia. Pätevyysalueet määritellään seuraaville osa-alueille: I. tietoturvallisuuden arviointikriteeristö 1) valtiovarainministeriön VAHTI-ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (yksilöity liitteessä 1), kulloinkin voimassa olevat versiot 15 2) Katakri, tietoturvallisuuden arviointityökalu viranomaisille, kulloinkin voimassa oleva versio 3) ISO/IEC 27001, kulloinkin voimassa oleva versio 4) muu julkaistu ja yleisesti tai alueellisesti sovellettu tietoturvallisuutta koskeva säännös, määräys tai ohje taikka vahvistettuun standardiin sisältyvät tietoturvallisuutta koskevat vaatimukset Arviointilaitoksen on haettava pätevyyttä osa-alueelle 3) eli jotta laitos voidaan hyväksyä tietoturvallisuuden arviointilaitokseksi, sillä on oltava pätevyys suorittaa ISO standardin mukaisia arviointeja. Kun arviointilaitos hakee pätevyyden arviointia kohtiin I. 1) tai 2), haetaan pätevyyttä myös suojaustason perusteella: 15 Mikäli tietoturvallisuuden arviointilaitoksen pätevyysalue kattaa valtiovarainministeriön ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, se voi tehdä sosiaali- ja terveydenhuollon tietojärjestelmien arvioinnin ja antaa olennaisten vaatimusten täyttymistä koskevan todistuksen (ks. luku 6 Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi)