Puolustushallinnon lausunto julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta

Samankaltaiset tiedostot
Lausunto Julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta pyydämme yleisesti huomioimaan seuraavaa:

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Lausunto

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Lausunto. Pilvipalveluiden hankinnasta voisi olla erillinen opas, joka kertoo, mihin asioihin tulisi kiinnittää huomiota hankittaessa pilvipalveluita.

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Lausunto Linjausten tulisi perustua pilvipalvelujen käyttöön liittyvään yleiseen riskiarvioon

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. CSC-Tieteen tietotekniikan keskus Oy. Lausunto

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta

Julkisen hallinnon tietoliikennepalvelulinjaukset ja linjaukset tiedon sijainnista ja hallinnasta Aku Hilve

Lausunto PELASTUSLAITOSTEN KUMPPANUUSVERKOSTO Lausunto PelJ/96/01.00/2018

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta

MITÄ TIETOHALLINTOLAKI TUO TULLESSAAN? Mikael Kiviniemi Julkisen hallinnon ICT-toiminto

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

Kertomusluonnoksesta annetut lausunnot Hallinnon turvallisuusverkkotoiminnan ohjaus (14/2016) 172/54/2015

Valtioneuvoston asetus lausuntomenettelystä tietohallinnon hankintoja koskevissa asioissa

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Tietoturvallisuus osana tiedonhallintalakia. Lainsäädäntöneuvos Eeva Lantto VAHTI kesäseminaari

TAPAS - puheenvuoro - TAPAS-päätösseminaari Tommi Oikarinen, VM / JulkICT

Lausunto Ohjausvaikutusten parantamiseksi julkisen hallinnon yhteisten arkkitehtuurilinjausten laatukriteerejä ovat mm:

Luonnos valtioneuvoston selonteoksi "Eettistä tietopolitiikkaa tekoälyn aikakaudella"

Informaatio-ohjaus ja tiedonhallintalaki tietoturvallisuuden kehittäjänä. Kirsi Janhunen, Väestörekisterikeskus

Laatua ja tehoa toimintaan

OPETUS- JA KULTTUURIMINISTERIÖN TOIMIALAN TIETOHALLINNON YHTEISTYÖKOKOUS

Tietoturvapolitiikka

Tietoturvapolitiikka Porvoon Kaupunki

Kertomusluonnoksesta annetut lausunnot 20/2018 Valtionhallinnon riskienhallinta ja toimintojen jatkuvuus 263/54/2017

Tietoturvapolitiikka

Uudistuva lainsäädäntö mitä laki tiedonhallinnasta ja tietojen käsittelystä julkishallinnossa tuo mukanaan

Yhteiskunnan turvallisuusstrategia 2017 Hyväksytty valtioneuvoston periaatepäätöksenä

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Pilvipalveluiden arvioinnin haasteet

Julkaistu Helsingissä 15 päivänä kesäkuuta /2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Vihdin kunnan tietoturvapolitiikka

Luonnos LIITE 1

Tietoturva tulevassa tiedonhallintalaissa ja VAHTI Kirsi Janhunen, Väestörekisterikeskus

SISÄASIAINMINISTERIÖN HALLINNONALAN TIETO TURVALLISUUDEN OHJAUSRYHMÄN TOIMINTASUUNNITELMA VUOSILLE

laeiksi julkisen hallinnon tietohallinnon ohjauksesta

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet. Microsoft Oy.

Salassa pidettävien tietojen ja asiakirjojen turvaluokittelu

Valtioneuvoston asetus

Kertomusluonnoksesta annetut lausunnot 18/2017 Puolustusvoimien materiaalihankkeiden suunnittelu ja ohjaus 110/54/2016

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Julkisen hallinnon tietoliikennepalvelulinjaukset. Yhteenveto. Linjausten tarkoitus ja kohdealue. Mika Koskinen. Lausunto KEHA/2778/2018

VM 5/01/ Valtiovarainministeriö Hallinnon kehittämisosasto. Ministeriöille, virastoille ja laitoksille 1 LÄHTÖKOHDAT

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

Turvallisuus. Käytettävyys. Yhteistyö. Hallinnon turvallisuusverkkohanke Hankkeen esittely

1. Arvionne lukuun 1 Johdanto

Asetus valtion yhteisten tieto- ja viestintäteknisten palvelujen järjestämisestä

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Muistio 1 (4) Resurssipoliittinen osasto PUOLUSTUSVOIMIEN KUMPPANUUSTOIMINTA 1 KUMPPANUUKSIEN TAUSTAA JA LÄHTÖKOHTIA

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

JUHTA asetus ja asettaminen. JUHTA Sami Kivivasara, VM JulkICT

Tiedonhallintalaki ja JUHTA:n rooli. JUHTA:n kokous Tommi Oikarinen / VM

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Eduskunnan hallintovaliokunnan kannanotto tietohallintolain vaikutuksiin. JUHTA Sami Kivivasara

HE 135/2018 vp. Hallituksen esitys eduskunnalle laiksi Ahvenanmaan itsehallintolain 30 :n muuttamisesta

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Webinaarin sisällöt

Pilvipalvelut ja henkilötiedot

'f5;i)jcqj Robin Lardot. Poliisihallitus Hallintoyksikkö 1 (1) /2011/2368. Sisäasiainministeriö Poliisiosasto

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Jatkuvuuden varmistaminen

Varmaa ja vaivatonta viestintää

1. Johtaminen ja riskienhallinta 2. Toiminnan jatkuvuuden hallinta 3. Turvallisuus kehittämisessä 4. Turvallisuuden ylläpito 5. Seuranta ja arviointi

Tietoturvavastuut Tampereen yliopistossa

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASETTAMINEN

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Tietosuoja-asetus Immo Aakkula Arkistointi

Espoon kaupunki Tietoturvapolitiikka

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Avoimuus ja julkisen hallinnon tietohallinto. Yhteentoimivuutta avoimesti -seminaari Tommi Oikarinen, VM / JulkICT

Julkisen hallinnon ICT-linjauksia. Linjausten tarkoitus. Linjausten tavoitteet. Keitä nämä linjaukset koskevat. Visio 2025.

Yhteentoimivuus ja tiedonhallintalaki

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Ulkoasiainministeriö E-KIRJE UM NSA-00 Hyvärinen Tuomas(UM) JULKINEN. VASTAANOTTAJA: Suuri valiokunta

KEHU JA MUITA TURVALLISUUTEEN

Kokonaisarkkitehtuuri julkisessa hallinnossa. ICT muutostukiseminaari neuvotteleva virkamies Jari Kallela

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

LUONNOS. Sotilastiedustelulainsäädännön valmistelu. lainsäädäntöjohtaja Hanna Nordström työryhmän puheenjohtaja Kuulemistilaisuus

Kuntasektorin kokonaisarkkitehtuuri

Helsingin kaupunginhallitus Pöytäkirja 1 (5)

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Luonnos hallituksen esitykseksi eduskunnalle laiksi julkisen hallinnon tiedonhallinnasta sekä eräiksi siihen liittyviksi laeiksi

Transkriptio:

Lausunto 1 (1) Harri Mäntylä 13.9.2018 VN/3729/2018 VN/3729/2018-PLM-5 VM lausuntopyyntö VM/276/00.01.00.01/2018 Puolustushallinnon lausunto julkisen hallinnon linjauksiin tiedon sijainnista ja hallinnasta Liitteenä puolustusvoimien ja puolustushallinnon rakennuslaitoksen lausunnot valtiovarainministeriön linjauksiin julkisen hallinnon tiedon sijainnista ja hallinnasta. Puolustusministeriö toivoo lausuntojen huomioimista, vaikka määräaika lausuntojen antamiselle on jo mennyt. Tietoturvapäällikkö Harri Mäntylä Liitteet Jakelu Tiedoksi Puolustusvoimien lausunto Puolustushallinnon rakennuslaitoksen lausunto VM Valtiovarainministeriö VM Valtiovarainministeriö, Pauli Kartano Postiosoite Käyntiosoite Puhelin Faksi s-posti, internet Postadress Besöksadress Telefon Fax e-post, internet Postal Address Office Telephone Fax e-mail, internet Puolustusministeriö Eteläinen Makasiinikatu 8 0295 16001 kirjaamo@defmin.fi PL 31 00130 Helsinki Internat. +358 295 16001 www.defmin.fi FI-00131 Helsinki Finland Finland

Pääesikunta Lausunto 1 (7) Puolustusministeriö PL 31 00131 Puolustusministeriön lausuntopyyntö AO13780/ 24.7.2018 LAUSUNTO JULKISEN HALLINNON LINJAUKSESTA TIEDON SIJAINNISTA JA HALLINNASTA 1 Lausunnon perustelut Puolustusministeriö on pyytänyt Pääesikunnan lausuntoa Valtiovarainministeriön luonnoksesta Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Tämän lausunnon taustalla vaikuttavat Puolustusvoimissa valmisteilla oleva TUVE strategia ja pilvipalvelustrategia, jotka määrittävät Puolustusvoimien palvelutuotannon tavoitteet lähivuosina. Lausuntopyynnön kohteessa olevassa valmistelussa tulisi tarkentaa, onko kyseessä hallinnollisesta määräyksestä, ohjeesta tai pelkästään suosituksesta (634/2010, tietohallintolaki 4 ). Pääesikunta on arvioinut julkisen hallinnon tietohallinnon ohjauksesta annetun lain (634/2010, tietohallintolaki) 4 :n mukaista tietohallinnon ohjauskysymystä mm. pilvipalveluihin liittyvien linjausten osalta. Tietohallintolain 2 2 momentin soveltamisalaa koskevassa säännöksessä todetaan, että viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) tarkoitetusta valtion viranomaisen tietoturvasta ja valmiuslaissa (1080/1991) tarkoitetusta valtion viranomaisen poikkeusoloihin varautumisesta on tietohallinnossa voimassa, mitä niistä säädetään mainituissa laeissa. Voimassa olevan valmiuslain (1552/2011) 105 :ssä todetaan edelleen, että valtiovarainministeriö voi määrätä poikkeusoloissa valtion tietohallinnon, tiedonkäsittelyn, sähköisten palveluiden, tietoliikenteen ja tieto- Pääesikunta Puh. 0299 800 Y-tunnus 0952029-9 Faksi www.puolustusvoimat.fi PL 919 00131

Pääesikunta Lausunto 2 (7) turvallisuuden järjestämisestä (1 mom.); ja että, valtiovarainministeriön ohjaus ei koske kuitenkaan Puolustusvoimien, rajavartiolaitoksen, poliisin, pelastus-viranomaisten ja hätäkeskusten toiminnallisia tieto-järjestelmiä (2 mom.). Hallituksen esityksessä valmiuslaiksi (HE 3/2008 vp., 105.2, yksityiskohtaiset perustelut) rajataan ohjauksen ulkopuolelle Puolustusvoimien, rajavartiolaitoksen, poliisin, pelastus-viranomaisten ja hätäkeskusten toiminnalliset tietojärjestelmät, jotka ovat välttämättömiä poikkeusoloissa. Tällaisia järjestelmiä olisivat esimerkiksi Puolustusvoimien tiedustelu- ja valvontajärjestelmät, rajavartiolaitoksen johtamisjärjestelmä ja hätäkeskuksen tietojärjestelmä. Pääesikunta on katsonut tämän perusteella Puolustusvoimien käytössä olevan toiminta-, tieto-, järjestelmä- ja teknologia-arkkitehtuurin painottuvan pääosin valmiuslain 105 :ssä tarkoitettuihin toiminnallisiin tietojärjestelmiin, jotka ovat välttämättömiä poikkeusoloissa. Toisaalta tilanne ei ole selkiytynyt kaikilta osin mm. «julkisen» «hallinnon» tietohallinnon yhteisten palvelujen ja muiden tietohallintoon liittyvien yhtenäisen toiminnan kannalta tarpeellisten toimenpiteiden ja tietojärjestelmien osalta. Toistaiseksi on huomioitava edelleen se, että pääosa Puolustusvoimien käytössä olevista tietojärjestelmistä on määritelty ja toteutettu siten, että järjestelmien toiminnallinen, tiedonohjaussuunnitelmaan perustuva, luokitus käsittää erilaisia hallinnon toimintamuotoja. Järjestelmäkohtaisessa tarkastelussa on huomioitava esim. se, että asejärjestelmähankkeiden ja hankintaprosessin valmistelussa tapahtuu hallintolaissa tarkoitetun hallintoasian valmistelun lisäksi myös asejärjestelmien teknistä vaatimusmäärittelyä ja elinjakson hallintaan liittyvää dokumentointia. Käytössä oleviin asejärjestelmiin liittyvää valmistelua tulisi siten arvioida myös sotilaskäskyasioina ja valmistelu on tavallisesti yhteydessä operatiiviseen ja strategiseen suunnitteluun. Puolustusvoimien toiminnallisissa järjestelmissä on siten korostettava tieto-turvallisuuden ja erityisesti kansainvälisten tietoturvavelvoitteiden huomioimista maanpuolustuksen edun lähtökohdista. Turvallisuusviranomaisten poikkeavasta näkökulmasta johtuen olisi mahdollisesti hyvä tarkentaa tietohallintolakiin perustuvaa valtiovarainministeriön ja samalla myös muiden ministeriöiden tehtävän ohjata toimialansa tietohallinnon ja tietohallintohankkeiden kehittämistä ottaen huomioon tässä laissa säädetyt tarkoitukset ja velvoitteet merkitystä mm. siinä suhteessa missä määrin ko. linjausten yhteydessä on kysymys hallinnollisesta määräyksestä tai ohjeesta tai sitten vain korostamalla linjausten merkitystä suosituksena, johon valmiuslaissa tarkoitetut turvallisuusviranomaiset voivat halutessaan tukeutua.

Pääesikunta Lausunto 3 (7) 2 Linjausten arviointi 2.1 Tietoturva- ja kyberturvallisuus 2.2 Palvelutuotanto Mikäli pilvipalveluihin tukeutumista halutaan arvioida turvallisuusviranomaisten ja erityisesti puolustusvoimien tietohallinnossa, tulisi asiaa tarkastella kansainvälisistä tietoturvallisuus-velvoitteista annetun lain (588/2004) 3 :ssä tarkoitettujen kansainvälisten tietoturvavelvoitteiden tasalta kotimaisen tai toisen valtion, kansainvälisen järjestön ja siellä kotipaikkaansa pitävän yrityksen sekä tässä yhteydessä tarkoitettujen valtiosopimusten ja turvallisuusluokiteltujen sopimusten lähtökohdista. Tässä merkityksessä linjaus Suomeen, Euroopan Unioniin tai ETA-alueeseen ja muihin maihin on riittämätön. Lisäksi EU tietosuoja-asetuksen velvoitteet henkilötiedon sijainnista tulee ottaa huomioon. Pilvipalveluihin tukeutuminen ei ole perusteltavissa tietoturvallisuuden etuna edes suojaustasoa ST IV olevan tiedon yhteydessä. Riskinä nähdään, että näiden linjausten perusteella ratkaisuja tehdään joko tai ei vaihtoehtoihin perustuen tai ilman asian edellyttämää tapauskohtaista oikeudellista tulkintaa. Suojaustason ST IV ja jopa julkisen tiedon yhteydessä on huomioitava kasautumisvaikutus sekä toisaalta myös järjestelmien käyttövaltuushallinnan rekisterinpidosta johtuen tarve suojata yksityisen edun lisäksi myös julkista etua (operatiivisesti merkittävät erityisryhmät). Tiedon ja palveluiden sijainnin yhteydessä tulisi huomioida laajemmin kansainvälisten tietoturvavelvoitteiden merkitystä. 2.2.1 Linjaukset Linjaus 1: Pilvipalveluita tulee käsitellä kuin mitä tahansa muutakin ICTpalvelun hankintaa tai muutosta. Linjaus on tarkoituksenmukainen. Puolustusvoimat turvallisuusviranomaisena on velvoitettu käyttämään TUVE lain mukaisia TUVE- palveluita. Kokonaisharkinta palvelujen hankinnasta ja käytöstä tehdään sotilaallisen maanpuolustuksen lähtökohdista. Linjaus 2: Tiedon sijaitessa Suomen rajojen ulkopuolella erityistä on kiinnitettävä huomiota sopimuksiin, palvelun jatkuvuuden turvaamiseen ja tiedon saatavuuteen. Tiedon käyttämisen, hallinnan sekä valvonnan mahdollistamiseksi Suomen rajojen ulkopuolella tulee ottaa huomi-

Pääesikunta Lausunto 4 (7) oon tarvittavien, kansainvälisessä käytössä, hyväksyttyjen suojausratkaisuiden käyttö sekä integrointi. Palveluiden sijaitessa pilvimalleissa ulkomailla tai kolmannen osapuolen hallussa reaaliaikainen kyber- ja tietoturvatilannekuva on pakollinen vaatimus. Tämän lisäksi palvelun sopimusten laatimisessa tulee huomioida tietoturvapoikkeamien käsittely. Linjaus 3: Pilvipalvelun tulee täyttää hankkivan osapuolen palveluhyöty ja -takuuvaatimukset. Linjaus on tarkoituksenmukainen. Linjaus 4: Mikäli pilvipalvelut tarjoavat parhaan palveluhyödyn ja - takuun, eikä muita esteitä ole, tulisi se ensisijaisesti valita. Tämä linjaus tulisi olla kolmannen linjauksen alakohtana. Linjaus 5: Pilvipalveluiden palveluhyötyä ja -takuuta tulee arvioida säännöllisesti vähintään kerran vuodessa ja oleellisten sopimusehtojen muuttuessa. Palvelun hyödyn arviointi on aina palvelun asiakkaan vastuulla. Yhteiseen palveluhankintaan liittyen yhteinen kriteeristö arvioinnille on välttämätön. Sotilaallisen maanpuolustuksen näkökulmasta palveluhyödyn ja -takuun muutos on riittävä peruste palvelun käytön lopettamiselle. Linjaus 6: Viranomainen ylläpitää listaa hyväksytyistä palveluntarjoajista. Mitä tässä tarkoitetaan viranomaisella? Miten todetaan hyväksytyt palveluntarjoajat ja miten hyväksytyksi palvelutarjoajaksi pääsee? Tämä on keskeinen linjaus ja tulee määritellä tarkasti. Linjaus 7: Julkisen tiedon käsittelyä ei rajoiteta Tämä linjaus ei ole yksiselitteinen. Myös julkisen tiedon käsittelyssä tulee tiedon omistajan arvioida tiedon kasautumisvaikutusta. Tällä voi olla merkittävä vaikutus palvelumallin valintaan. Linjaus 8: Henkilötietoa ja suojaustason IV tietoa voi käsitellä julkisessa pilvessä, kun tietoturva ja -suoja on asianmukaisesti toteutettu ja todennettu Tämä linjaus on tarkoituksenmukainen.

Pääesikunta Lausunto 5 (7) Linjaus 9: Suojaustason III tietoa voi käsitellä viranomaisen hyväksymissä pilvipalveluissa Liittyy linjaukseen kuusi. Viranomaisen hyväksynnän perustana on oltava selkeä ja yhdenmukainen kriteeristö. Tämän lisäksi on määriteltävä prosessit joilla arvioinnit toteutetaan sekä arvioinnin toteuttamiseen oikeutetut tahot. 2.2.2 Palvelumallit Kappaleessa 4.2. on kuvattu palvelumallit. Puolustusvoimien käsityksen mukaan palvelumallien yhtenäinen kuvaaminen läpi valtionhallinnon on lähtökohta sille, että pilvipalvelut käsitetään samalla tavalla. Eri palvelumallien hankkimiselle tulisi olla erilliset kriteeristöt. Esimerkiksi SaaS -palvelun hankkiminen on kaikista monipuolisin yhdistelmä eri toimijoita, jolloin alusta-, sovellus-, middleware- palvelut saattavat tulla eri toimijoilta. Usean toimittajan ketju on riski turvallisuudelle, koska pilvipalveluiden kokonaisturvallisuuden määrittää sen heikoin lenkki. 2.2.3 Tiedon ja palveluiden sijainti, hallinta ja ohjaus 3 Suosituksia jatkotoimenpiteiksi Sivulla 9 on kuvattu riskienhallintaa tiedon sijainnin ja luottamuksellisuuden suhteen. Toiminnan jatkuvuus poikkeusoloissa saattaa olla joissain tilanteissa paremmin turvattuna, jos palvelu on yksityisen hallussa. Yksityinen muu - termi kaipaisi lisämäärittelyä. Sotilaallisen maanpuolustuksen kannalta poikkeus- ja häiriöoloissa (ennen valmiuslain voimaantuloa) tulee erikseen määritetyt pilvipalvelut olla turvattuna ja palautettavissa sekä jatkuvuussuunnittelu olla tehtynä. Nämä asiat huomioidaan sopimuksissa, joihin liittyy viranomaissuunnittelua ja vaatii yritykseltä syvempää kumppanoitumista. Kansainvälinen lainsäädäntö tulee ottaa huomioon, kun palvelua viedään rajojen ulkopuolelle. Yleisesti voidaan todeta, että esitetyt jatkotoimenpiteet ovat relevantteja. Toimijoiden vastuujakoa linjausten toimeenpanossa on kuitenkin selvennettävä. Sotilaallisen maanpuolustuksen näkökulmasta kyber- ja tietoturvallisuustilannekuvan muodostaminen ja ylläpito tulee lisätä vastuunjakotaulukkoon. Turvallisuusviranomaisten palveluiden ja hallinta tulee linjauksissa olla tarkemmin määritelty varsinkin tilanteissa, jolloin tieto tai palvelu, tai näiden hallinta tapahtuu Suomen ulkopuolelta.

Pääesikunta Lausunto 6 (7) Vaatimus palvelutuottajien turvallisuusselvityksistä tulee jatkossa ottaa huomioon. Auditointi tulee olla yhteismitallinen ja velvoittava eri palvelutuotantomalleissa. Auditointikriteeristöön tulee liittää riskienhallinnan mittaristo, jonka pohjalta voidaan määrittää hyväksyttävä jäännösriski. 4 Johtopäätökset Linjaukset ovat relevantteja ja antavat mahdollisuuksia oman toiminnan kehittämiseksi. Turvallisuusviranomaisille on annettava mahdollisuus toteuttaa omien lakisääteisten tehtävien toteuttaminen omien lähtökohtien ja tarpeiden mukaisesti. Tämä on keskeinen vaatimus sotilaallisen maanpuolustuksen kannalta. Näiden linjausten poikkeamien käsittelyyn tulee laatia prosessit ja niitä käsittelevät elimet, mikä on erityisen tärkeää tarkasteltaessa turvallisuusviranomaisten yhteisten palveluiden tuottamista pilvipalveluna. VM:n tulee huolehtia siitä, että linjausten toimeenpanon liittyvät prosessit ja toimintatavat tukevat linjausten tavoitteiden saavuttamista. Turvallisuusviranomaisille tulee mahdollistaa häiriö- ja poikkeusoloissa oman toiminnan kannalta kriittisten palveluiden kapasiteetin siirto omiin laitetiloihin ja toiminnan jatkuvuuden turvaaminen. Eri pääpalvelumallien konkretisointi ja niiden erilaiset turvallisuuspainotusten huomioon ottaminen vaatii lisätarkastelua. Esimerkiksi SaaS palveluiden käyttö- ja tietoturvallisuusvaatimukset poikkeavat merkittävästi muista palvelumalleista. Allekirjoitukset Allekirjoitusteksti LIITTEET JAKELU TIEDOKSI

Pääesikunta Lausunto 7 (7)

LAUSUNTO 1 (3) KES.182417 27.08.2018 1262/0500/2018 VN/3729/2018, VN/3729/2018-PLM-3 PUOLUSTUSHALLINNON RAKENNUSLAITOKSEN LAUSUNTO VALTIOVARAINMINISTERIÖN LUONNOKSESTA "JULKISEN HALLINNON LINJAUKSET TIEDON SIJAINNISTA JA HALLINNASTA" Yhteenveto Viitekohdassa mainitun asiakirjan johdosta Puolustushallinnon rakennuslaitos ilmoittaa lausuntonaan seuraavaa: Rakennuslaitos toteaa, että olisi hyvä, jos julkisen hallinnon tiedon sijaintia ja hallintaa määrittäisivät yhteiset ja yhteisesti noudatettavat periaatteet, kuten asiakirjan tavoitteeksi on asetettu. Samalla Rakennuslaitos korostaa, että pilvipalveluihin ja niiden käyttöönottoon liittyy problematiikkaa, johon on hyvä saada reunaehdot erityisesti puolustushallintoa ja turvallisuusviranomaisia koskien. Lausunnolla olevassa linjausluonnoksessa on vielä ristiriitaisuuksia ja epäselvyyksiä. Esimerkiksi valmisteilla oleva Tiedonhallintalaki ja tässä asiakirjassakin mainitut muutokset kyseenalaistavat linjauksia ja jättävät linjausten toimeenpanoaikataulun epäselväksi. Taustaa linjauksille Linjausten tavoitteet Kohtaan ei ole lausuttavaa. Turvallisuusviranomaisten erityistarpeiden tulisi näkyä myös linjausten tavoitteissa. Pilvipalveluiden edut sekä toteutus- ja palvelumallit 4.1. Pilviteknologian edut Pilvipalveluteknologian etuja (kuva 1) listattaessa kustannustehokkuus Puolustushallinnon rakennuslaitos, Keskusyksikkö, Isoympyräkatu 10, PL 1, 49401 Hamina Puhelin: 0299 8300 Faksi: 0299 83 1251 Y-tunnus: 0988874-7 www.phrakl.fi

LAUSUNTO 2 (3) KES.182417 27.08.2018 1262/0500/2018 nousee esille liian korostetusti. Turvallisuusviranomaisen näkökulmasta tietoturva on vähintään yhtä tärkeää. Linjausten mukaisesti pilvipalveluiden käyttöönotto vähentää organisaatioiden oman osaamisen tarvetta. Puolustushallinnon rakennuslaitoksen toiminnan luonteen vuoksi palvelun käyttöönottoon, ylläpitoon ja sen tietoturvallisuuteen liittyvää osaamista ei ole mahdollista kokonaan ulkoistaa palveluntuottajalle. Tiedon ja palveluiden sijainti, hallinta ja ohjaus Palveluiden sijainnin, hallinnan ja ohjauksen riskit (kuva 2) nousevat Puolustushallinnon rakennuslaitoksen näkemyksen mukaan suuriksi (kuvan punainen väri) jo tiedon sijainnin ja/tai hallinnan ollessa EU-alueella. Yksityinen pilvipalvelu Suomessa aiheuttaa kuvan mukaisen keskitason riskin (kuvan oranssi väri). Kuvassa 3 (Tiedon luottamuksellisuuden ja toiminnan jatkuvuuteen erityisesti poikkeusoloissa liittyvät riskit suhteessa palveluntuottamiseen liittyvään malliin) tavoiteltu tietosisältö jää erittäin epäselväksi. Linjauksessa organisaatiolle vastuutetaan velvollisuus arvioida tiedon ja palvelun kriittisyyteen, tärkeyteen ja jatkuvuuteen liittyvät tekijät. Nykyisen toimintamallin mukaisesti, jossa virastoille tarjotaan valtion yhteisiä palveluita palveluntuottajan hankkimana (TORI-palvelut) yksittäisellä virastolla ei ole mahdollisuutta toimia linjauksen edellyttämällä tavalla. 5.1.2 Tietojen luokittelu On hyvä, että linjaukset tietojen luokitteluun on annettu. Turvallisuusviranomaisten salassa pidettävää tietoa sisältävään palveluun liittyvässä riskienarvioinnissa tulee tiedon luonteesta johtuen erityisesti huomioida kasaantumisen aiheuttama suojaustason mahdollinen nousu jo ST IV alkaen. 5.3. Haasteet Kappaleen alussa on hyvin tunnistettu pilvipalveluiden haasteita. Kappaleen sisältö ja sen tarkoitus jää kokonaisuudessaan kuitenkin epäselväksi. Esimerkiksi se, että valtiovarainministeriössä tehtävä Tiedonhallintalain valmistelu tulee muuttamaan tietojen luokittelua, tekee asiakirjassa esitellyt linjaukset epävarmoiksi. Linjaukset julkisen hallinnon tiedon sijainnista ja hallinnasta Linjauksiin julkisen hallinnon tiedon sijainnista ja hallinnasta toivotaan tarkennuksia. Puolustushallinnon rakennuslaitos, Keskusyksikkö, Isoympyräkatu 10, PL 1, 49401 Hamina Puhelin: 0299 8300 Faksi: 0299 83 1251 Y-tunnus: 0988874-7 www.phrakl.fi

LAUSUNTO 3 (3) KES.182417 27.08.2018 1262/0500/2018 Linjauksessa 6 jää epäselväksi, mikä viranomainen jatkossa ylläpitäisi listaa hyväksytyistä palveluntarjoajista. Linjaukseen 8 olisi toivottavaa saada tieto siitä, mitä on asianmukainen toteuttaminen ja todentaminen. Linjaus 9: Mikä viranomainen hyväksyy ST III pilvipalvelut? Linjaus 9: Suojaustason III tietoa voi käsitellä viranomaisen hyväksymissä pilvipalveluissa. Tällaisen tiedon käsittelyyn käytettävän pilvipalvelun täytyy sijaita fyysisesti Suomessa tai EU:n alueella on ristiriidassa kappaleen 5.1.2 Tietojen luokittelu kanssa, jonka mukaan ST III tai turvallisuusluokiteltavaa ST III LUOTTAMUKSELLINEN tai korkeampi tietoa, tietoa saa käsitellä ainoastaan Suomessa ja omassa hallinnassa olevia palveluita hyödyntäen. Linjausluonnoksessa ehdotetut jatkotyöt toteutettuina (arviointipankki, pilviohje, yhteisten sopimusehtojen riskianalyysipohja ja pilviarkkitehtuuri) auttavat yksittäisten viranomaisten toimintaa. Ritva Peura Hallintojohtaja Anu Hakkarainen-Kiri Tietoasiantuntija Tämä asiakirja on sähköisesti allekirjoitettu JAKELU Puolustusministeriö Puolustushallinnon rakennuslaitos, Keskusyksikkö, Isoympyräkatu 10, PL 1, 49401 Hamina Puhelin: 0299 8300 Faksi: 0299 83 1251 Y-tunnus: 0988874-7 www.phrakl.fi

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute