Valtiontalouden tarkastusviraston tietoturvapolitiikka

Transkriptio

1 Valtiontalouden tarkastusviraston tietoturvapolitiikka

2

3 Valtiontalouden tarkastusvirasto on tänään vahvistanut oheisen tietoturvapolitiikan. Päätös on voimassa lukien toistaiseksi. Helsingissä 30. päivänä huhtikuuta Pääjohtaja Tuomas Pöysti Tietoturvapäällikkö Tuomo Salminen

4 1 Johdanto 1.1 Tietoturvapolitiikan strategiset tavoitteet Valtiontalouden tarkastusviraston tietoturvapolitiikassa määritellään tietoturvallisuuden tavoitteet, strategiset painopistealueet, vastuut, turvaamisperiaatteet ja tiedottaminen tarkastusvirastossa. Tarkastusviraston strategiset tavoitteet on määritelty hyväksytyssä asiakirjassa "Valtiontalouden tarkastusviraston strategia vuosille ". Tietoturvapolitiikka tukee tarkastusviraston strategisten tavoitteiden saavuttamista. Tietoturvapolitiikkaa täydentävät tarkastusviraston omat ja eduskunnan tietoturvamääräykset ja -ohjeet. Tietoturvakäytännöt ja toimenpiteet, joilla tietoturvallisuutta ylläpidetään ja kehitetään, on koottu viraston suunnitelmiin ja ohjeisiin (mm. tietoturva-, arkistonmuodostus-, viestintä-, henkilöstö-, kriisiviestintä- ja valmiussuunnitelmat sekä tietosuoja- ja hankintaohjeet). Tarkastusviraston tietoturva-asiakirjoja laadittaessa huomioidaan soveltuvin osin valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) antama ohjeistus. Tarkastusviraston tietoturvallisuuden strategisena tavoitteena on se, että virasto toimii esimerkkinä hallinnossa hyvän tietoturvakulttuurin kehittämisessä ja ylläpitämisessä. Painopistealueita ovat hyvän tiedonhallintatavan toteuttaminen kaikissa viraston toiminnoissa, henkilöstön tietoturvaosaamisen ylläpitäminen ja kehittäminen sekä sitouttaminen tietoturvalliseen toimintaan ja tietoturvaohjeisiin. Tietoturvallisuuden operatiiviset painopistealueet ovat järjestelmien käytettävyys, tiedon salaus, luotettava käyttäjän tunnistus, käyttöoikeushallinta, tietoturvakoulutuksen järjestäminen ja ohjeistus sekä ulkopuolisten hyökkäyksien torjunta, roskapostin suodattaminen ja haittaohjelmien torjunta. Tarkastusvirasto noudattaa vähintään eduskunnan määrittelemää tietoturvatasoa sekä lisäksi huomioidaan tarvittavilta osin ulkoiset vaatimukset tietoturvallisuuden toteuttamiseksi. 1.2 Tietoturvallisuuden käsite ja merkitys Tietoturvallisuudella tarkoitetaan tietojen, tietojärjestelmien ja niiden palveluiden luottamuksellisuuden, eheyden, saatavuuden ja käytettävyyden suojaamista siten, että niihin kohdistuvat uhat eivät aiheuta merkittävää vahinkoa Valtiontalouden tarkastusviraston toiminnoille. Tarkastusviraston toiminnoissa on otettava huomioon sään- 2

5 nöksissä, määräyksissä sekä ohjeissa olevat velvoitteet ja vaatimukset, jotka ovat keskeisiä kriteereitä tietoturvallisuustoimenpiteiden laadun arvioimisessa. Tietoturvallisuuden tavoitteena on huolehtia siitä, että tarkastusviraston tarkastuskohteilta saatuja ja omassa toiminnassa syntyneitä tietoaineistoja käsitellään koko elinkaaren ajan säännösten, määräysten ja ohjeiden mukaisesti. Tarkastusviraston henkilöstön velvollisuutena on huolehtia omassa työssään tietoturvallisuuden riittävästä ja asianmukaisesta toteuttamisesta sekä kiinnittää huomiota tietoaineistoihin ja tietojärjestelmiin kohdistuviin uhkiin. Jokaisen velvollisuutena on tuoda esiin tietoturvallisuuteen kohdistuvat riskit suunnitelmissa ja ohjeissa kuvatuilla tavoilla. 2 Tietoturvatoimintaa ohjaavat tekijät Viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 18.1 :ssä säädetään viranomaiselle toisaalta velvollisuudesta huolehtia siitä, että julkinen tieto on oikeaan aikaan käytettävissä ja toisaalta velvollisuudesta suojata salassa pidettävät tiedot väärinkäytöltä. Henkilötietolain (523/1999) 32.1 :n rekisterinpitäjällä on velvollisuus toteuttaa tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Arkistolaissa (831/1994) säädetään arkistonmuodostajan velvollisuudesta huolehtia asiakirjojen säilytyksestä siten, että ne ovat turvassa tuhoutumiselta, vahingoittumiselta ja asiattomalta käytöltä (ArkL 12.1 ). Sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) yhdeksi tarkoitukseksi on määritelty tietoturvallisuuden lisääminen hallinnossa, millä pyritään puolestaan mahdollistamaan sähköisten tiedonsiirtomenetelmien käyttö asiointivälineenä (1 ). Viranomaisten on järjestettävä tietoturvallisuus riittävälle tasolle niin kansalaisille, yrityksille kuin yhteisöillekin tarkoitetuissa sähköisissä palveluissa ja viranomaisten välisessä sähköisessä tiedonsiirrossa ja asioinnissa (5.3 ). Yksityisyyden suojasta työelämässä annetun lain (759/2004) tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia työelämässä. Laissa säädetään erityisesti henkilöstöturvallisuuteen liittyvistä asioista, kuten työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta. Valtiontalouden tarkastusviraston arkistonmuodostussuunnitelma (446/01/05) käsittää perustiedot viraston toiminnan tuloksena syntyvien tietoaineistojen käsittelystä, 3

6 rekisteröinnistä, säilytystavoista ja -muodoista, julkisuudesta sekä maininnat tietojärjestelmistä ja muista asiakirjojen käsittelyyn liittyvistä ohjeista. 3 Tietoturvallisuuteen kohdistuvat uhat ja riskit Tietoturvauhat kohdistuvat sähköisiin ja paperimuotoisiin tietoaineistoihin, henkilöstöön, fyysiseen turvallisuuteen, laitteistoihin, ohjelmistoihin, tietoliikennepalveluihin ja järjestelmien käyttöön. Uhkia seurataan jatkuvasti ja niistä raportoidaan johdolle ja muille vastuuhenkilöille. Tietoturvallisuuteen kohdistuvat uhat ja riskit on määritelty viraston tietoturvasuunnitelmassa. Tietoturvariskit kartoitetaan ja tietoturvatoimenpiteet priorisoidaan siten, että riskien toteutuminen vaikuttaa mahdollisimman vähän viraston toimintaan. Tietoturvatoimenpiteet on priorisoitu viraston tietoturvasuunnitelmassa. 4 Tietoturvallisuuden merkitys organisaatiolle Perustuslain (731/1999) 90.2 :n mukaan tarkastusviraston tehtävänä on valtion taloudenhoidon ja valtion talousarvion noudattamisen tarkastaminen. Valtiontalouden tarkastusvirastosta annetun lain (676/2000) 1 :n mukaan tarkastusviraston tehtävänä on tarkastaa valtion taloudenhoidon laillisuutta ja tarkoituksenmukaisuutta sekä valtion talousarvion noudattamista. Lisäksi eräistä Suomen ja Euroopan yhteisöjen välisistä varainsiirroista annetun lain (353/1995) 2-3 :ssä on säädetty tarkastusvirastolle oikeus tarkastaa laissa määriteltyjä varainsiirtoja. Valtiontalouden tarkastusvirastosta annetun lain 6 :n mukaan tarkastusviraston velvollisuutena on antaa eduskunnalle vuosittain syyskuun loppuun mennessä kertomus toiminnastaan. Tarkastusviraston tehtävänä on raportoida tarkastuskohteille tarkastuksessa ilmenneistä havainnoista. Tarkastusvirasto tukee tarkastus- ja asiantuntijatoiminnallaan eduskunnan työskentelyä tarjoamalla riippumatonta tarkastustietoa. Tarkastustoiminnalla vaikutetaan hallinnon toiminnan kehittymiseen. Tietoturvatoimenpiteillä turvataan lainsäädännössä asetettujen tehtävien suorittaminen, jolla toteutetaan eduskunnalle annettavan kertomuksen tietoaineiston muodostumista sekä tarkastuskohteille tehtävää raportointia. Lisäksi tietoturvatoimenpiteiden suunnittelussa ja toteutuksessa otetaan huomioon tarkastusviraston strategiset tavoitteet. Tarkastusviraston ydintehtävien suorittamista tukee laadukkaat ja toimivat tukipalvelut. 4

7 5 Tietoturvallisuuden hallintajärjestelmä Tietoturvallisuuden hallintajärjestelmän toteuttaminen on kuvattu tarkemmin tarkastusviraston tietoturvasuunnitelmassa. Tietoturvallisuuden hallintajärjestelmää ylläpidetään lainsäädännön, ohjeistuksen ja menettelyiden muuttuessa. Hallintajärjestelmä on kuvattu pääpiirteissään alla olevassa kuviossa ja siinä sovelletaan standardia IEC/ISO 27001: KUVIO 1. TIETOTURVALLISUUDEN HALLINTAJÄRJESTELMÄ 6 Tietoturvavastuut 6.1 Tarkastusviraston tietoturvavastuut Tarkastusvirastossa noudatettava tietoturvapolitiikka ja tietoturvasuunnitelma ovat pääjohtajan hyväksymiä. Tarkastusviraston ylin johto vastaa tietoturvallisuuden huomioonottamisesta viraston strategisissa tavoitteissa. Tietoturvapäällikkö valvoo, että tarkastusviraston tietoturvallisuutta noudatetaan tietoturvapolitiikan ja tietoturvasuunnitelman mukaisesti. 5

8 Tietohallinnolla on yleisvastuu tietoliikenne-, ohjelmisto- ja laitteistotietoturvallisuudesta. Asiakirjahallinnolla ja toimintayksiköillä on yleisvastuu tietoaineistoturvallisuudesta. Henkilöstö- ja fyysisestä turvallisuudesta vastaa hallintopäällikkö. Tarkastusvirastossa toimii tietoturvaryhmä, jonka tehtävänä on kehittää viraston tietoturvallisuuteen liittyviä menettelyitä, kehittää ohjeistusta ja käsitellä tietoturvahavaintoja. Vastuut on määritelty tarkemmin tarkastusviraston työjärjestyksessä. 6.2 Yhteistyökumppaneiden vastuut Eduskunnan ns. yhteisten järjestelmien osalta noudatetaan eduskunnan sisäisiä käytäntöjä. Ulkoistettujen palvelujen toimittajien on noudatettava soveltuvin osin tarkastusviraston tietoturvaohjeita ja -määräyksiä ja ne on otettava huomioon sopimuksia tehtäessä. 7 Tietoturvakoulutus ja tiedottaminen Tarkastusvirastossa tietoturvallisuusasioiden tiedottamisesta vastaa yleisellä tasolla viraston johtoryhmä yhteistyössä tietoturvapäällikön ja tiedotuksen kanssa. Tarkastusviraston julkinen tietoaineisto on julkaistu viraston internet-sivuilla ( Tarkastusviraston kriisiviestinnässä noudatetaan viraston viestintäsuunnitelmaa. Tietoturvallisuuteen liittyvästä ulkoisesta viestinnästä vastaa tiedottaja. Tietoturvallisuus on olennainen osa viraston jatkuvaa osaamisen kehittämistä, josta huolehditaan asianmukaisella ja suunnitellulla tietoturvakoulutuksella. Uusille työntekijöille järjestetään perehdytys viraston tietoturvamenettelyihin ja - ohjeistukseen ennen työtehtävien aloittamista. Tietoturvakoulutuksen suunnittelussa ja toteutuksessa huomioidaan tehtävien, tuotteiden ja palveluiden kehittyminen. Tietoturvallisuuteen liittyvien ohjeiden päivityksistä tiedotetaan aktiivisesti ja tarvittaessa järjestetään erillisiä koulutustilaisuuksia kohderyhmittäin. 6

9 8 Tietoturvallisuuden toteutumisen valvonta Henkilökunnasta jokainen on velvollinen ilmoittamaan tietoturvahavainnoistaan. Tietoturvallisuuden valvontaan osallistuvat henkilökunnan lisäksi eri yhteistyötahot. Valvonnassa korostuu johdon, esimiesten, tietohallinnon ja järjestelmien vastuuhenkilöiden rooli. Virastolla on sidosryhmiensä kanssa sopimuksia valvontatehtävistä. Tällainen valvonta kohdistuu erityisesti palvelimiin ja tietoliikenteeseen. 9 Toiminta poikkeustilanteissa ja -oloissa Normaaliolojen palo- ja pelastustilanteissa toimitaan suojelusuunnitelman mukaisesti. Henkilökunnalle on jaettu kirjalliset toimintaohjeet uhka- ja hälytystilanteita varten. Poikkeusoloissa virastossa toimitaan valmiussuunnitelman mukaisesti. Asiakirjojen poikkeusolojen suojeluryhmät on määritelty arkistonmuodostussuunnitelmassa. 7

10 Liite 1: Määritelmät Fyysinen turvallisuus tarkoittaa niitä toimenpiteitä, joilla tietojenkäsittelyyn liittyviä kohteita suojellaan fyysisiltä tapaturmilta tai vahingoittamisyrityksiltä. Laitteet ja tietovarastot suojataan asiaankuulumattomilta henkilöiltä ja erilaisilta palo-, vesi- ja kiinteistövahingoilta. Hallinnollinen tietoturvallisuus on tietoturvallisuuden johtamistoiminto ja organisaation koko tietoturvatoiminnan lähtökohta Henkilöstöturvallisuus on henkilöstöön liittyvien riskien hallintaa henkilöstön soveltuvuuden, toimenkuvien, sijaisuuksien, tiedonsaanti- ja käyttöoikeuksien, suojaamisen, turvallisuuskoulutuksen ja valvonnan osalta. Hyvällä tiedonhallintatavalla tarkoitetaan sitä, että asiakirjojen ja tietojärjestelmien sekä niihin sisältyvien tietojen saatavuudesta, käytettävyydestä, suojaamisesta, eheydestä ja muista tietojen laatuun vaikuttavista tekijöistä huolehditaan riittävin toimenpitein. Julkisuuslain mukaan hyvään tiedonhallintatapaan sisältyy diaarin ja tietojärjestelmäselosteiden huolellinen ylläpito, asiakirjajulkisuuden vaatimat järjestelyt, asianmukainen tietosuoja ja tietoturvallisuus, henkilökunnan koulutus ja informointi näistä seikoista, niitä koskevien ohjeiden noudattamisen valvonta, sekä varautuminen suunniteltujen hallintouudistusten vaikutuksiin asiakirjain julkisuuteen, salassapitoon ja suojaan sekä tietojen laatuun. Käyttöturvallisuudella tarkoitetaan tietotekniikan käyttöön, käyttöympäristöön, tietojenkäsittelyyn ja sen jatkuvuuteen sekä tuki-, ylläpito-, kehittämis- ja huoltotoimintoihin liittyvää turvallisuutta. Laitteistoturvallisuudella tarkoitetaan tietoturvallisuuden osa-aluetta, joka käsittää tietojenkäsittely- ja tietoliikennelaitteiden käytettävyyden, toiminnan, kokoonpanon, kunnossapidon ja laadunvarmistuksen. Ohjelmistoturvallisuus on tietoturvallisuuden osa-alue, joka käsittää käyttöjärjestelmät, väliohjelmistot (middle ware), sovellusohjelmat ja tietoliikenneohjelmistot. Alueeseen kuuluvat ohjelmistojen tunnistamis-, eristämis-, pääsynvalvonta- ja varmistusmenettelyt, tarkkailu- ja paljastustoimet, lokimenettelyt, ohjelmistojen laadunvarmistus sekä niiden ylläpitoon ja päivitykseen liittyvät turvallisuustoimet. Riskillä tarkoitetaan todennäköisyyttä, että uhka toteutuu aiheuttaen tietyn menetyksen tai vahingon uhkaan liittyvää vahingon rahallista arvoa tai odotusarvoa Tiedon ja tietojenkäsittelyn eheys tarkoittaa aitous, väärentämättömyys, sisäinen ristiriidattomuus, kattavuus, ajantasaisuus, oikeellisuus ja käyttökelpoisuus ominaisuus, että tietoa tai viestiä ei ole valtuudettomasti muutettu, ja että mahdolliset muutokset voidaan todentaa kirjausketjusta 8

11 Tiedon ja tietojenkäsittelyn luottamuksellisuudella tarkoitetaan tietojen luottamuksellista säilyttämistä ja tietoihin, tietojenkäsittelyyn ja tietoliikenteeseen kohdistuvien oikeuksien säilymistä vaarantumiselta ja loukkaukselta sitä, missä määrin luottamuksellisuutta pidetään tärkeänä Tiedon ja tietojenkäsittelyn saatavuudella ja käytettävyydellä tarkoitetaan ominaisuus, että tieto, tietojärjestelmä tai palvelu on siihen oikeutetuille saatavilla ja hyödynnettävissä haluttuna aikana ja vaaditulla tavalla Tietoaineistoturvallisuudella tarkoitetaan tietojen ja niitä sisältävien järjestelmien tunnistusta, luokittelua ja valvontaa käsittelyn eri vaiheissa. Tietoliikenneturvallisuudella tarkoitetaan toimenpiteitä, joilla varmistetaan tietojen turvallisuus niiden liikkuessa järjestelmästä toiseen joko organisaation sisällä tai organisaatioiden välillä. Tietoturvapolitiikka tarkoitetaan organisaation tasolla johdon hyväksymä näkemystä tietoturvallisuuden päämääristä, periaatteista ja toteutuksesta 9