Viestintäviraston suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Samankaltaiset tiedostot
Liikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Auditoinnit ja sertifioinnit

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

Varmaa ja vaivatonta viestintää kaikille Suomessa

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Turvallisuusselvityslainsäädännön uudistus

Viestintäviraston päätös käyttöoikeuden myöntämisestä pilotointikäyttöön

Markkina-analyysi hankealueen tukikelpoisuudesta: Etelä-Pohjanmaa hankealue Alavus

Markkina-analyysi hankealueen tukikelpoisuudesta: Etelä-Karjala hankealue Lemi

Viestintäviraston päätös käyttöoikeuden siirrosta

Markkina-analyysi hankealueen tukikelpoisuudesta: Pohjois-Pohjanmaa

@ Viestintävirasto Analyysi 1 (5)

Tämä analyysi korvaa päivätyn analyysin /9520/2011 MARKKINA-ANALYYSI TUKIKELPOISESTA ALUEESTA LAPPI HANKEALUE 57 (KOLARI)

TURVALLISUUSSELVITYSLAKI JA PUOLUSTUSVOIMIEN SIDOSRYHMÄTURVALLISUUS

EDUSKUNNAN VASTAUS 95/2004 vp. Hallituksen esitys Euroopan Avaruusjärjestöä koskevan yleissopimuksen sopimuspuolten ja

Päätös MNC-tunnuksen myöntämisestä

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Määräys SÄHKÖPOSTIPALVELUJEN TIETOTURVASTA JA TOIMIVUUDESTA. Annettu Helsingissä 19 päivänä syyskuuta 2008

Lennonjohtajan ja lennonjohtajaoppilaan lupakirja

Turvallisuusselvityslainsäädännön uudistus. Vaikutukset kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa

Turvallisuusselvityslain uudistus yritysturvallisuusselvityksissä

Ohje arviointikriteeristöjen tulkinnasta

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

1(5) Lisätietoja toimiluvista ja hakumenettelystä on nähtävillä valtioneuvoston verkkosivuilla osoitteessa xxx.

Markkina-analyysi hankealueen tukikelpoisuudesta: Pohjois-Pohjanmaa hankealue Sievi

NCSA-FI:n hyväksymät salausratkaisut

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

HALLINTOSÄÄNTÖ, TARKASTUSLAUTAKUNNAN OSUUDET. 2 luku Toimielinorganisaatio. 9 Tarkastuslautakunta

TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS. Tausta, tavoitteet ja tarkoitus

Lain vaatimusten toteutumisen valvonta ja ohjaus Ammattimainen käyttäjä laiteturvallisuuden varmistajana Tarja Vainiola, ylitarkastaja

Määräys VIESTINTÄVERKON VERKONHALLINNASTA. Annettu Helsingissä 24 päivänä elokuuta 2007

Valtioneuvoston asetus

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä xx päivänä yykuuta 2007

Pilvipalveluiden arvioinnin haasteet

7 Poliisin henkilötietolaki 50

Määräys TELELIIKENTEEN ESTOLUOKISTA. Annettu Helsingissä 5 päivänä huhtikuuta 2005

Ehdotus. KOMISSION ASETUKSEKSI (EY) N:o /.. annettu [ ]

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Viestintäviraston päätös yleispalveluyritysten nimeämisestä internetyhteyspalvelujen

Uusi Oulu Oulun kaupungin ulkoinen valvonta. Kaupunginvaltuutettujen koulutus Kaupunginreviisori Annikki Parhankangas

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä 24 päivänä toukokuuta 2011

Tietoturvapolitiikka

Määräys TILAAJAN NUMEROTIETOJEN SIIRROSTA VIESTINTÄVERKOSSA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EY) N:o /2010, annettu [ ],

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

AUTOMAATTISTEN SAMMUTUSLAITTEISTOJEN SUUNNITTELUTOIMISTON HYVÄKSYMINEN

Määräys PUHELINNUMERON SIIRRETTÄVYYDESTÄ. Annettu Helsingissä 23 päivänä tammikuuta 2006

Turvallisuusviranomaisten käsikirja yrityksille

Määräys HÄTÄLIIKENTEEN OHJAUKSESTA JA VARMISTAMISESTA. Annettu Helsingissä 5 päivänä toukokuuta 2011

Sastamalan kaupungin uusi hallintosääntö

Viestintäviraston suorittamat salaustuotearvioinnit ja -hyväksynnät. Arvioinnin ja hyväksynnän edellytykset sekä perittävät maksut

VIESTINTÄVIRASTON PÄÄTÖS KOSKIEN ACN:N NUMERONSIIRTOTILAUKSEN SITOVUUTTA

Laki. EDUSKUNNAN VASTAUS 91/2012 vp

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Valtioneuvoston asetus

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

Miten Katakri on muuttunut?

Aikaisempi laki osoittautui riittämättömäksi

Ohje tietoturvallisuuden arviointilaitoksille

Ohje tietoturvallisuuden arviointilaitoksille

Määräys VIESTINTÄVERKON RAKENTEESTA, LIITYNTÄPISTEISTÄ, HF (HUMAN FACTORS)-NÄKÖKOHDISTA, TÄRKEYSLUOKITTELUSTA JA VARMISTAMISESTA.

Luonnos LIITE 1

Viestintäviraston päätös radiouutisten sponsoroinnista

APOTTI ASIAKAS- JA POTILASTIETOJÄRJESTELMÄN KÄYTTÖPALVELUIDEN HANKINTA

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

AUTOMAATTISTEN SAMMUTUSLAITTEISTOJEN SUUNNITTELUTOIMISTO

Tietosuojaseloste / Yksityisteiden yhteyshenkilörekisteri

Tasotarkastajan valtuutus ja tasotarkastuksen suorittaminen

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Henkilötietojen käsittelyn ehdot

Varmaa ja vaivatonta viestintää

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Määräys POSTILAATIKKOJEN SIJOITTELUSTA. Annettu Helsingissä 31 päivänä toukokuuta 2011

Päätös 1 (5) DNA Oy (Y-tunnus: ) PL DNA. Elisa Oyj (Y-tunnus: ) PL ELISA

Viestintäviraston NCSA-toiminnon hyväksymät salausratkaisut

Sallan koulukeskuksen YLEISÖTILAISUUDEN PELASTUSSUUNNITELMA. (Pelastuslaki 379/ ) (VN asetus pelastustoimesta 407/ ) Tarkastettu

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

Kansallisarkisto SÄHKE2-AUDITOINNIT PALVELUKUVAUS. v. 1.0 ( )

Tarjous tehdään tällä sekä liitteessä 3 olevalla lomakkeella. Puutteellisia tarjouksia ei käsitellä.

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

LAUSUNTOPYYNTÖ VUONNA 2014 KÄYNNISTYVISTÄ JULKISTA TUKEA HAKEVISTA LAAJAKAISTAHANKKEISTA

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

Luvan pyytäminen matkaviestinverkon puhelinliittymien puhelinmarkkinointiin puhelun aikana

Rekisterinpitäjä Kotkan kaupunki, Hyvinvointipalvelut, Hyvinvointilautakunta. Varhaiskasvatusjohtaja Raili Liukkonen

Tietosuojaselostepohja GDPR

SÄHKE2-SOVELLUSAUDITOINNIT

Määräys VIESTINTÄVERKKOJEN YHTEENLIITETTÄVYYDESTÄ, YHTEENTOIMIVUUDESTA JA MERKINANNOSTA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Määräys. Viestintävirasto on määrännyt 23 päivänä toukokuuta 2003 annetun viestintämarkkinalain (393/2003) 129 :n nojalla: 1 Soveltamisala

Lausuntopyyntö vuonna 2017 käynnistyvistä julkista tukea hakevista laajakaistahankkeista

SOTILASILMAILUN LÄÄKETIETEELLISET KELPOISUUDET

Laki. kansalaisuuslain muuttamisesta

Transkriptio:

Ohje 1 (6) 1.8.2018 Viestintäviraston suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit Tilaajaorganisaation näkökulma JOHDANTO Kansainvälisistä tietoturvallisuusvelvoitteista, turvallisuusselvityksistä sekä viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annettujen lakien 1 mukaan Viestintäviraston tehtäviin kuuluvat erilaiset tietojärjestelmien turvallisuusarvioinnit ja -hyväksynnät. Viestintäviraston suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit sisältävät tilaajaorganisaatiolta vaadittavia suoritteita. Tässä ohjeessa kuvataan arviointi- ja hyväksyntäprosessit tilaajaorganisaation näkökulmasta. Kuvauksessa määritellään käytetyt termit, esitellään arvioinnin ja hyväksynnän edellytykset ja perittävien maksujen määräytyminen, esitellään tilaajaorganisaatiolta vaadittavia suoritteita osana arviointi- tai hyväksyntäprosessia sekä määritellään hyväksynnän voimassaolon ehdot. MÄÄRITELMÄT "Hyväksynnällä/hyväksyntäprosessilla" (accreditation) tarkoitetaan prosessia, jonka päätteeksi turvallisuusjärjestelyt hyväksyvä viranomainen 2 antaa virallisen lausunnon siitä, että järjestelmä on hyväksytty käytettäväksi määritellyssä turvaluokassa, tiettyä turvallisuuden takaavaa toimintatapaa noudattaen käyttöympäristössään ja hyväksyttävällä riskitasolla, sen pohjalta, että hyväksytyt tekniset, fyysiset, organisatoriset ja menettelyyn liittyvät turvatoimet on toteutettu. "Arvioinnilla/arviointiprosessilla" (assessment) tarkoitetaan prosessia, jonka päätteeksi turvallisuusjärjestelyt hyväksyvä viranomainen antaa virallisen lausunnon siitä, miltä osin järjestelmä täyttää siihen kohdistuvat vaatimukset. Arviointiprosessi on usein hyväksyntäprosessin osaprosessi. "Tarkastuksella" (audit) tarkoitetaan riippumattoman tahon suorittamaa kohteen, sen toiminnan ja toiminnan tulosten yleensä määräajoin tapahtuvaa tutkimista sen selvittämiseksi, vastaako järjestelmä tai sen osa siihen kohdistuvia vaatimuksia. 1 Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004). Turvallisuusselvityslaki (726/2014). Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011). 2 Security Accreditation Authority (SAA), tässä Viestintäviraston NCSA-toiminto. Lisätietoa: Kansallisen turvallisuusviranomaisen ohje kansainvälisen turvallisuusluokitellun tietoaineiston käsittelystä, www.formin.finland.fi > Palvelut > Kansallinen turvallisuusviranomainen (NSA) > Kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyohje Viestintävirasto Kommunikationsverket Finnish Communications Regulatory Authority www.ficora.fi Erik Palménin aukio 1 PL 313 00561 Helsinki Puhelin 0295 390 100 www.viestintävirasto.fi Erik Palménin aukio 1 PB 313, FI-00561 Helsingfors, Finland Telefon +358 295 390 100 www.kommunikationsverket.fi Erik Palménin aukio 1 P.O. Box 313, FI-00561 Helsinki, Finland Telephone +358 295 390 100 www.ficora.fi

2 (6) ARVIOINNIN JA HYVÄKSYNNÄN EDELLYTYKSET SEKÄ PERITTÄVÄT MAKSUT Viestintäviraston suorittamat tietoturvallisuusarvioinnit ja -hyväksynnät edellyttävät tilaajaorganisaatiolta perusteltua tarvetta käsitellä kansallista tai kansainvälistä salassa pidettävää tietoa. Arviointimenettelyn piiriin kuuluvat viranomaisen määräämisvallassa olevat tai hankittavaksi suunnittelemat järjestelmät, joista viranomainen on tehnyt Viestintävirastolle arviointipyynnön (L 1406/2011 3, L 10/2015 4 ), ja valtiovarainministeriön pyynnöstä tehtävät selvitykset valtionhallinnon viranomaisen määräämisvallassa olevien tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta (L 1406/2011, L 10/2015). Viestintäviraston hyväksyntämenettelyn piiriin kuuluvat valtionhallinnon toimijoiden järjestelmät siltä osin, kun ne liittyvät kansainvälisten tietoturvavelvoitteiden täyttämiseen (L 588/2004 5 ), ja kansalliseen tai kansainväliseen yritysturvallisuusselvitysprosessiin hakeutuneiden yritysten järjestelmät siltä osin, kun ne edellyttävät kansallisen tietoturvallisuusviranomaisen (NCSA, National Communications Security Authority) hyväksyntää (L 588/2004) tai Viestintäviraston selvitystä vaatimustenmukaisuudesta (L 726/2014). Viranomaisella on mahdollisuus hakea Viestintäviraston todistusta vaatimustenmukaisuudesta (L 1406/2011) myös arviointimenettelyn piiriin kuuluvista järjestelmistä. Organisaatiolta, joka on tilannut Viestintävirastolta tietojärjestelmän tietoturvallisuusarvioinnin tai -hyväksynnän, peritään käytettyyn aikaan perustuva maksu 6. Tilaajaorganisaatiolla on oikeus saada Viestintävirastolta arvio maksun suuruudesta ennen tilauksen tekoa. ARVIOINTI- JA HYVÄKSYNTÄPROSESSIEN KUVAUS Arviointiprosessi koostuu kuudesta keskeisestä suoritteesta sekä näitä täydentävistä osasuoritteista. Hyväksyntäprosessiin kuuluu lisäksi seitsemäs suorite, sekä arviointiprosessin kanssa valtaosin yhteneväiset osasuoritteet. Tässä kuvataan kukin suorite sillä tarkkuudella, että tilaajaorganisaatio saa selkeän yleiskuvan siltä vaadittavista toimista. Arviointiprosessia on havainnollistettu kuvassa 1. Hyväksyntäprosessia on havainnollistettu kuvassa 2. 1. Arviointi-, todistus- tai hyväksyntäpyyntö Viestintävirastolle Tilaajaorganisaatiolla on mahdollisuus hakea järjestelmälle Viestintäviraston arviointia, todistusta vaatimustenmukaisuudesta tai hyväksyntää. Haettaessa todistusta vaatimustenmukaisuudesta, pyyntö käsitellään hyväksyntää vastaavalla menettelyllä. Arviointi-, todistus- tai hyväksyntäpyyntö suositellaan lähetettäväksi vasta, kun tilaajaorganisaatiossa uskotaan, että arvioinnin kohde täyttää pääasiallisen arviointikriteeristön 7 vaatimukset. Arviointi-, todistus- tai hyväksyntäpyynnöstä on käytävä ilmi: Järjestelmän nimi Lyhyt luonnehdinta järjestelmästä ja sen laajuudesta Käsitteleekö järjestelmä kansallista, kansainvälistä vai sekä kansallista että kansainvälistä salassa pidettävää tietoa Korkein käsiteltävä turvaluokka Järjestelmän omistaja, rakentaja ja ylläpitäjä Järjestelmän tila: suunnitteilla / rakenteilla / valmis / käytössä Järjestelmään liittyvät ulkoiset tai sisäiset vaatimukset, sekä suunniteltu käyttöönottopäivä Yhteyshenkilön nimi ja yhteystiedot Laskutustiedot Pyyntöön on Viestintävirastolta saatavissa esitäytetty lomake 8. Mikäli järjestelmään on tehty hyväksytyn arviointilaitoksen arviointi, pyydetään arviointilaitoksen raportti toimittamaan pyynnön liitteenä. Pyyntö on toimitettava kirjallisesti Viestintäviraston kirjaamoon osoitteeseen: Viestintävirasto / Kirjaamo, Tarkastukset ja hyväksynnät -ryhmä / Aki Tauriainen, Itämerenkatu 3A, PL 313, 00181 Helsinki. 3 Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011), http://www.finlex.fi/fi/laki/alkup/2011/20111406 4 Laki julkisen hallinnon turvallisuusverkkotoiminnasta, http://www.finlex.fi/fi/laki/alkup/2015/20150010 5 Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004), http://www.finlex.fi/fi/laki/alkup/2004/20040588 6 Valtion maksuperustelaki (150/1992), http://www.finlex.fi/fi/laki/ajantasa/1992/19920150. 7 www.defmin.fi/katakri; www.ncsa.fi > Asiakirjat > Työkalu tietoturvallisuuden arviointiin 8 www.ncsa.fi > Asiakirjat > Pyyntö tietojärjestelmän tietoturvallisuushyväksynnälle/-arvioinnille

Kuva 1. Arviointiprosessi. 3 (6)

4 (6) Tilaaja/toimittaja Yhteinen Viestintävirasto Hyväksynnän/todistuksen uusimisen hakeminen 1. Hyväksyntä-/todistuspyyntö Viestintävirastolle 2. Pyynnön tarkastus ja Viestintäviraston vastaus Pyynnössä Merkittäviä puutteita Kuvaus järjestelmän rakenteesta 3. Esipalaveri tilaaja-/toimittajaorganisaation kanssa Katsaus tarkastettavaan kohteeseen Kohteesta arviointilaitoksen raportti Arviointiraportin arviointi Kuvausten toimitus: a) Järjestelmädokumentaatio b) Vaatimustenmukaisuuskuvaus 4. Tarkastusten valmistelevat toimet Hyväksynnän/ todistuksen edellytykset täyttyvät Riittävät esitiedot Tarkastussuunnitelman kommentointi Tarkastussuunnitelma Tarvittavat korjaukset ja/tai valmistelut 5. Tarkastus Raportointi 6. Arvioinnin Jatkamiselle perusteet Hyväksynnän/ todistuksen edellytykset täyttyvät Hyväksyntä-/ todistuspyynnön käsittelyn päättäminen Palautekyselyyn osallistuminen (vapaaehtoinen) Hyväksynnän/ todistuksen raukeaminen Hyväksynnän/todistuksen voimassaolon ehdot eivät täyty 7. Järjestelmän käytölle ehdollinen hyväksyntä/ todistus Kuva 2. Hyväksyntäprosessi.

5 (6) 2. Viestintäviraston vastaus Viestintävirasto pyrkii antamaan vastauksensa kahden viikon kuluessa pyynnön saapumisesta. Mikäli pyynnöstä ilmenee, että edellytyksiä arviointi- tai hyväksyntäprosessin aloittamiseen ei ole, pyyntö palautetaan täydennettäväksi. Arviointi- tai hyväksyntäprosessin aloittamisen edellytysten täyttyessä Viestintäviraston vastauksesta selviää: Ehdotus esipalaverin ajaksi Esipalaveriin tilaajaorganisaatiolta vaadittavat dokumentit 3. Esipalaveri tilaajaorganisaation kanssa Esipalaverin tavoitteena on saada yleiskuva tarkastuksen kohteena olevasta tietojärjestelmästä, sekä saavuttaa yhtenevä ymmärrys arviointi- tai hyväksyntäprosessin käytännön toimista. Esipalaveri pidetään lähtökohtaisesti seuraavien toimijoiden kesken: Tarkastajat (Viestintäviraston järjestelmätarkastuksen edustajat) Järjestelmän omistaja Järjestelmän rakentaja Järjestelmän ylläpitäjä Esipalaverissa Viestintävirastolle luovutetaan 9 mahdollisuuksien mukaan seuraavat dokumentit: Kuvaus järjestelmän rakenteesta 10 Tiedot mahdollisista aikaisemmista tarkastuksista, arvioinneista ja/tai hyväksynnöistä raportteineen Järjestelmäkohtaiset erityisvaatimukset 11 Viestintävirastolla on mahdollisuus myöntää järjestelmälle todistus tai hyväksyntä pohjautuen hyväksytyn arviointilaitoksen suorittamaan arviointiin (L 1405/2011 12 ). Myöntämisen keskeisinä ehtoina ovat tehtyjen tarkastusten rajausten yhteneväisyydet haettavan todistuksen tai hyväksynnän rajauksiin sekä toimitettujen arviointiraporttien tietojen riittävyys. Todistusta tai hyväksyntää varten Viestintävirasto suorittaa tarvittaessa tarkentavia arviointeja tai pyytää tilaajaorganisaatiolta lisäselvitystä sen varmistamiseksi, että hyväksynnän kohde täyttää soveltuvat tietoturvallisuusvaatimukset. 4. Tarkastusten valmistelevat toimet Viestintävirasto laatii osana tarkastusten valmistelevia toimiaan tarkastussuunnitelmaluonnoksen, jossa kuvataan yleistasolla kyseisen järjestelmän tarkastamiseen liittyvät asiakokonaisuudet ja tarkastusten aikataulutus. Tilaajaorganisaatiolle annetaan mahdollisuus kommentoida tarkastussuunnitelmaa. Suunnitelma viimeistellään yhteistyössä tilaajaorganisaation kanssa. Tilaajaorganisaatiota edellytetään toimittamaan tarkastussuunnitteluun seuraavat tiedot: Kuvaus järjestelmän rakenteesta ja toimintaperiaatteista (järjestelmädokumentaatio) Kuvaus järjestelmän vaatimustenmukaisuuden nykytilasta (itsearviointi) Kuvauksista tulee selvitä järjestelmän rakenne, toimintaperiaatteet ja suojaamiskäytännöt. Kuvausten tulee olla sellaisella tarkkuudella, että niiden avulla pystytään suunnittelemaan järjestelmän tarkastuskokonaisuudet ja räätälöimään tarkastuksessa käytetyt työkalut tarkastuskohteen mukaisesti. Kuvaukseen vaatimustenmukaisuuden nykytilasta on Viestintävirastolta saatavissa esitäytetty lomake 13. Arviointi- tai hyväksyntäprosessi päätetään, mikäli edellytettyjä kuvauksia ei toimiteta 6 kuukauden kuluessa esipalaverista lukien. 9 Viestintävirastolla ja sen lukuun toimivilla asiantuntijoilla on oikeus saada nähtäville tai käyttöönsä ne tiedot, jotka ovat tarpeen tarkastusten suorittamista varten. Virastolla on lisäksi oikeus päästä tarkastuksen kohteen toimitiloihin. Tiedonsaantioikeudesta ja pääsystä toimitiloihin säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) 6 :ssä ja kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 16 :ssä. Viestintävirasto ja virastossa toimivat ovat velvollisia noudattamaan lakia viranomaisten toiminnan julkisuudesta (621/1999). Julkisuuslaissa säädetään muun muassa salassa pidettävien tietoja koskevasta vaitiolovelvollisuudesta ja hyväksikäyttökiellosta (julkisuuslaki 22 ja 23 ), joiden rikkomisesta säädetään rikoslaissa (julkisuuslaki 35 ). Viestintäviraston tulee lisäksi noudattaa julkisuuslain 18 :n mukaista hyvää tiedonhallintatapaa ja asetusta tietoturvallisuudesta valtionhallinnossa, jossa säädetään asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista. 10 Esimerkiksi verkkokuvat ja listaukset järjestelmäkomponenteista käyttöjärjestelmineen. 11 Turvaluokiteltujen tietojen omistajat asettavat usein järjestelmän käyttöluvan ehdoksi järjestelmäkohtaisen turvallisuusvaatimusmäärittelyn (SSRS, System-Specific Security Requirements Statement) täyttämisen. 12 Laki tietoturvallisuuden arviointilaitoksista (1405/2011), http://www.finlex.fi/fi/laki/alkup/2011/20111405. 13 www.ncsa.fi > Asiakirjat > Kuvaus järjestelmän vaatimustenmukaisuuden nykytilasta

6 (6) Tilaajaorganisaatiota edellytetään sitoutumaan suunnitelmassa kuvattavaan aikataulutukseen. Tilaajaorganisaatiota edellytetään myös järjestävän tarkastuksen mahdollistavat menettelyt tarkastuksen kohteessa. Tällaisiin menettelyihin sisältyvät tyypillisesti soveltuvat henkilöstö- ja tilavaraukset, sekä tarvittavien loogisten ja fyysisten pääsyoikeuksien järjestämiset. 5. Tarkastus Tarkastukseen sisältyy kohteen tietoturvallisuuden tutkiminen sen selvittämiseksi, vastaako kohteen tietoturvallisuuden tila siihen kohdistuvia vaatimuksia. Tarkastus koostuu yleensä hallinnollisesta ja teknisestä osuudesta. Tarkastukseen sisältyy yleensä myös fyysisen turvallisuuden osuus. Tarkastuksessa käytettyjä todennusmenetelmiä on kuvattu yksityiskohtaisemmin Viestintäviraston ohjeessa tietoturvallisuuden arviointilaitoksille 14 (luvut 5.4.2 ja 5.4.3). Tarkastuskokonaisuuden päätteeksi käydään keskeiset havainnot läpi yhdessä kohdeorganisaation kanssa. Tilaajaorganisaatiolle toimitetaan pyydettäessä myös raportti järjestelmän tai sen osakokonaisuuden vaatimustenmukaisuuden nykytilasta. Raportti pyritään toimittamaan kuuden viikon kuluessa viimeisimmästä tarkastuskäynnistä. 6. Arvioinnin jatkamisen perusteet Arviointiprosessissa tarkastus- ja raportointialiprosessia jatketaan lähtökohtaisesti tilaajaorganisaation tarpeiden mukaisesti. Hyväksyntäprosessissa tarkastus- ja raportointialiprosessia jatketaan, kunnes järjestelmälle asetettujen vaatimusten on todennettu täyttyneen. Arviointi- tai hyväksyntäprosessi voidaan päättää myös tilanteessa, jossa tarkastusta ei pystytä aloittamaan tai tarkastuksissa havaittujen poikkeamien korjausten etenemisestä ei saada näyttöä 6 kuukauden aikana, tai mikäli tilaajaorganisaatio pyytää prosessin päättämistä. 7. Järjestelmän käytölle ehdollinen hyväksyntä tai todistus Vaatimukset täyttävälle kansainvälistä suojattavaa tietoa käsittelevälle järjestelmälle voidaan myöntää hyväksyntä. Vaatimukset täyttävälle kansallista suojattavaa tietoa käsittelevälle järjestelmälle voidaan myöntää todistus vaatimustenmukaisuudesta. Sekä hyväksynnän että todistuksen myöntäminen edellyttää, että tarkastuksen kohde sitoutuu turvallisuuden tason säilyttämiseen. HYVÄKSYNNÄN JA TODISTUKSEN VOIMASSAOLO Viestintäviraston myöntämä hyväksyntä on voimassa lähtökohtaisesti 3 vuotta myöntämispäivästä lukien. Myös todistus voidaan myöntää määräajaksi, jos siihen on erityinen syy. Hyväksyntä tai todistus raukeaa, mikäli tarkastetussa kohteessa tapahtuu merkittävä sen turvallisuuteen vaikuttava muutos. Tällaisia voivat olla esimerkiksi merkittävät verkkorakenteen, henkilöstön, turvakäytäntöjen tai toimitilojen muutokset. Tavanomaisesta ylläpidosta aiheutuvat muutokset, kuten esimerkiksi ohjelmistojen turvapäivitysten asennukset, eivät aiheuta voimassaolevan hyväksynnän tai todistuksen raukeamista. Tapauskohtaiset ehdot hyväksynnän tai todistuksen raukeamiselle määritellään hyväksynnän tai todistuksen myöntämisen yhteydessä. Merkittävät muutokset tulee hyväksyttää etukäteen Viestintävirastolla. TARJOTTAVAT TUKIPALVELUT JA LISÄTIETOKYSELYT Viestintävirasto pystyy tukemaan arviointi- ja hyväksyntäprosesseihin osallistuvia organisaatioita tietoturvallisuuden neuvontapalvelulla. Neuvontapalvelun tarkoituksena on varmistaa, että asiakkailla on riittävä ymmärrys sovellettavasta tulkintakäytännöstä sekä soveltuvista ratkaisukäytännöistä. Neuvontapalvelun käyttö ei takaa, että arviointi- tai hyväksyntäpalvelun kohde täyttäisi kaikki siihen kohdistuvat suojausvaatimukset. Lopullinen arvio kohteen vaatimustenmukaisuuden nykytilasta tehdään aina osana arviointi- tai hyväksyntäpalvelua. Kohteen arviointiin välittömästi osallistuva asiantuntija ei voi jääviyssyistä neuvoa kohdeorganisaatiota arvioinnissa havaittujen puutteiden korjaamisessa kuin yleisellä, vaatimusten tulkintaa avaavalla tasolla. Lisätietoja on saatavilla osoitteesta accreditation (at) ficora (piste) fi. 14 Viestintäviraston ohje tietoturvallisuuden arviointilaitoksille, https://www.viestintavirasto.fi/attachments/ohje_tietoturvallisuuden_arviointilaitoksille.pdf.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute