Liikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Samankaltaiset tiedostot
Viestintäviraston suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Auditoinnit ja sertifioinnit

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

Varmaa ja vaivatonta viestintää kaikille Suomessa

TURVALLISUUSSELVITYSLAKI JA PUOLUSTUSVOIMIEN SIDOSRYHMÄTURVALLISUUS

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Henkilötietojen käsittelyn ehdot. 1. Yleistä

Ohje arviointikriteeristöjen tulkinnasta

EDUSKUNNAN VASTAUS 95/2004 vp. Hallituksen esitys Euroopan Avaruusjärjestöä koskevan yleissopimuksen sopimuspuolten ja

Turvallisuusselvityslain uudistus yritysturvallisuusselvityksissä

Pilvipalveluiden arvioinnin haasteet

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

1(5) Lisätietoja toimiluvista ja hakumenettelystä on nähtävillä valtioneuvoston verkkosivuilla osoitteessa xxx.

Lain vaatimusten toteutumisen valvonta ja ohjaus Ammattimainen käyttäjä laiteturvallisuuden varmistajana Tarja Vainiola, ylitarkastaja

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Valtioneuvoston asetus

Kanta-Hämeen sairaanhoitopiirin kuntayhtymä (jäljempänä Tilaaja ) Ahvenistontie 20, Hämeenlinna Y-tunnus:

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Lennonjohtajan ja lennonjohtajaoppilaan lupakirja

Uusi Oulu Oulun kaupungin ulkoinen valvonta. Kaupunginvaltuutettujen koulutus Kaupunginreviisori Annikki Parhankangas

7 Poliisin henkilötietolaki 50

HALLINTOSÄÄNTÖ, TARKASTUSLAUTAKUNNAN OSUUDET. 2 luku Toimielinorganisaatio. 9 Tarkastuslautakunta

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EY) N:o /2010, annettu [ ],

Luonnos LIITE 1

Ehdotus. KOMISSION ASETUKSEKSI (EY) N:o /.. annettu [ ]

NCSA-FI:n hyväksymät salausratkaisut

LIITE 2. Henkilötietojen käsittelyn ehdot. 1. Yleistä

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

Turvallisuusselvityslainsäädännön uudistus

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Tietoturvapolitiikka

AUTOMAATTISTEN SAMMUTUSLAITTEISTOJEN SUUNNITTELUTOIMISTON HYVÄKSYMINEN

Turvallisuusviranomaisten käsikirja yrityksille

Henkilötietojen käsittelyn ehdot

7178/16 AJL/isk SERV JUR. Euroopan unionin neuvosto Bryssel, 11. huhtikuuta 2016 (OR. en) 7178/16 POLGEN 21 CODEC 323 PE 37 SÄÄDÖKSET JA MUUT VÄLINEET

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Ohje tietoturvallisuuden arviointilaitoksille

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Ohje tietoturvallisuuden arviointilaitoksille

Valtuuskunnille toimitetaan oheisena asiakirja COM(2017) 408 final LIITE 1.

[yksilöitynä käsiteltävät henkilötiedot ja käsittelyn kesto] [yksilöitynä henkilötietojen tyyppi ja rekisteröityjen ryhmät]

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Laki. julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

Olemme sitoutuneet suojaamaan asiakkaidemme yksityisyyttä ja tarjoamme mahdollisuuden vaikuttaa henkilötietojen käsittelyyn.

Sastamalan kaupungin uusi hallintosääntö

Henkilötietojen käsittelyn ehdot

Keräämämme tiedot voidaan jakaa asiakkaiden, huoltajan antamiin, viranomaisten antamiin ja eri järjestelmien keräämään tietoon.

Miten Katakri on muuttunut?

TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS. Tausta, tavoitteet ja tarkoitus

toisen maksupalveludirektiivin väitettyä rikkomista koskevista valitusmenettelyistä

Kantelija on antanut valtioneuvoston kanslian selvityksen johdosta vastineen

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Yhteiskäyttöautoyritysten pysäköintioikeus ja hakumenettely

Keräämämme tiedot voidaan jakaa huoltajan antamiin, viranomaisten antamiin ja eri järjestelmien

Tietosuojaseloste / Tapahtumatukiselvitys

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Sopimuksen liite Henkilötietojen käsittelyn ehdot

I Osa: Sopimusehdot [Siirrä nämä ehdot soveltuvin osin sopimukseen]:

TIETOSUOJAVASTAAVA PROJEKTI SOPIMUS

Sallan koulukeskuksen YLEISÖTILAISUUDEN PELASTUSSUUNNITELMA. (Pelastuslaki 379/ ) (VN asetus pelastustoimesta 407/ ) Tarkastettu

Valtioneuvoston asetus

Varmaa ja vaivatonta viestintää

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

LIITE. asiakirjaan. Komission delegoitu asetus

Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

Tarjous tehdään tällä sekä liitteessä 3 olevalla lomakkeella. Puutteellisia tarjouksia ei käsitellä.

SELVITYS TIETOJEN SUOJAUKSESTA

Tietosuojaselostepohja GDPR

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

EIP-ryhmän. valitusjärjestelmä. Vastuullisen toiminnan varmistaja

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Tietosuojaseloste / Yksityisteiden yhteyshenkilörekisteri

Kansallisarkisto SÄHKE2-AUDITOINNIT PALVELUKUVAUS. v. 1.0 ( )

Moniammatillisista työryhmistä ja tietojen vaihdosta lastensuojelun kentässä Jyväskylä Maria Haarajoki Lakimies, OTM Pelastakaa Lapset ry

Virtu tietoturvallisuus. Virtu seminaari

Laki. kansalaisuuslain muuttamisesta

Kasvuvalmennus -soveltamisohje, Kasvuvalmennuksen ohjeet hakijoille

Tietoturvallisuusliite

Kaupungintalon juhlasalin vuokrasopimusten ja vuokravapaushakemusten

Turvallisuusselvityslainsäädännön uudistus. Vaikutukset kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa

Tietosuojaseloste / Timmi tilavarausjärjestelmä

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Rekisteriseloste. Vanhusten ympärivuorokautisen hoidon ja hoivan asiakasrekisterin rekisteriseloste

Euroopan unionin neuvosto Bryssel, 25. huhtikuuta 2017 (OR. en)

SÄHKE2-SOVELLUSAUDITOINNIT

KAJAANIN KAUPUNGIN TARKASTUSSÄÄNTÖ

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto

TIETOTURVA- POLITIIKKA

Rekisteriseloste. Kehitysvammaisten asumispalvelujen asiakasrekisterin rekisteriseloste

TIETOHALLINTOLAKI (LUONNOS) Korkeakoulujen IT-päivät Erityisasiantuntija Olli-Pekka Rissanen

Laki. EDUSKUNNAN VASTAUS 91/2012 vp

POP MAAKUNNAN ICT-VALMISTELU SOPIMUS PROJEKTIN TOTEUTTAMISESTA

Menettely auditoinnin lopputuloksen uudelleen käsittelemiseksi

Menettely auditoinnin lopputuloksen uudelleen käsittelemiseksi. Lyhyt kuvaus menettelystä

Transkriptio:

Ohje 1 (6) 3.9.2019 Liikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit Tilaajaorganisaation näkökulma JOHDANTO Kansainvälisistä tietoturvallisuusvelvoitteista, turvallisuusselvityksistä sekä viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annettujen lakien 1 mukaan Liikenne- ja viestintävirasto Traficomin tehtäviin kuuluvat erilaiset tietojärjestelmien turvallisuusarvioinnit ja -hyväksynnät. Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit sisältävät tilaajaorganisaatiolta vaadittavia suoritteita. Tässä ohjeessa kuvataan arviointi- ja hyväksyntäprosessit tilaajaorganisaation näkökulmasta. Kuvauksessa määritellään käytetyt termit, esitellään arvioinnin ja hyväksynnän edellytykset ja perittävien maksujen määräytyminen, esitellään tilaajaorganisaatiolta vaadittavia suoritteita osana arviointi- tai hyväksyntäprosessia sekä määritellään hyväksynnän voimassaolon ehdot. MÄÄRITELMÄT "Hyväksynnällä/hyväksyntäprosessilla" (accreditation) tarkoitetaan prosessia, jonka päätteeksi turvallisuusjärjestelyt hyväksyvä viranomainen 2 antaa virallisen lausunnon siitä, että järjestelmä on hyväksytty käytettäväksi määritellyssä turvaluokassa, tiettyä turvallisuuden takaavaa toimintatapaa noudattaen käyttöympäristössään ja hyväksyttävällä riskitasolla, sen pohjalta, että hyväksytyt tekniset, fyysiset, organisatoriset ja menettelyyn liittyvät turvatoimet on toteutettu. "Arvioinnilla/arviointiprosessilla" (assessment) tarkoitetaan prosessia, jonka päätteeksi turvallisuusjärjestelyt hyväksyvä viranomainen antaa virallisen lausunnon siitä, miltä osin järjestelmä täyttää siihen kohdistuvat vaatimukset. Arviointiprosessi on usein hyväksyntäprosessin osaprosessi. "Tarkastuksella" (audit) tarkoitetaan riippumattoman tahon suorittamaa kohteen, sen toiminnan ja toiminnan tulosten yleensä määräajoin tapahtuvaa tutkimista sen selvittämiseksi, vastaako järjestelmä tai sen osa siihen kohdistuvia vaatimuksia. ARVIOINNIN JA HYVÄKSYNNÄN EDELLYTYKSET SEKÄ PERITTÄVÄT MAKSUT Traficomin suorittamat tietoturvallisuusarvioinnit ja -hyväksynnät edellyttävät tilaajaorganisaatiolta perusteltua tarvetta käsitellä kansallista tai kansainvälistä salassa pidettävää tietoa. Arviointimenettelyn piiriin kuuluvat viranomaisen määräämisvallassa olevat tai hankittavaksi suunnittelemat järjestelmät, joista viranomainen on tehnyt Traficomille arviointipyynnön (L 1406/2011 3, L 10/2015 4 ), ja valtiovarainministeriön pyynnöstä tehtävät selvitykset valtionhallinnon viranomaisen määräämisvallassa olevien tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta (L 1406/2011, L 10/2015). 1 Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004). Turvallisuusselvityslaki (726/2014). Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011). 2 Security Accreditation Authority (SAA), tässä Traficomin NCSA-toiminto. Lisätietoa: Kansallisen turvallisuusviranomaisen ohje kansainvälisen turvallisuusluokitellun tietoaineiston käsittelystä, https://um.fi/turvallisuusluokitellun-tiedonkasittelyohje 3 Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011), http://www.finlex.fi/fi/laki/alkup/2011/20111406 4 Laki julkisen hallinnon turvallisuusverkkotoiminnasta, http://www.finlex.fi/fi/laki/alkup/2015/20150010 Liikenne- ja viestintävirasto Traficom PL 320, 00059 TRAFICOM p. 029 534 5000 Y-tunnus 1031715-9 traficom.fi

2 (6) Traficomin hyväksyntämenettelyn piiriin kuuluvat valtionhallinnon toimijoiden järjestelmät siltä osin, kun ne liittyvät kansainvälisten tietoturvavelvoitteiden täyttämiseen (L 588/2004 5 ), kansalliseen tai kansainväliseen yritysturvallisuusselvitysprosessiin hakeutuneiden yritysten järjestelmät siltä osin, kun ne edellyttävät kansallisen tietoturvallisuusviranomaisen (NCSA, National Communications Security Authority) hyväksyntää (L 588/2004) tai Traficomin selvitystä vaatimustenmukaisuudesta (L 726/2014), ja viranomaisten tietojärjestelmät, joista viranomainen hakee Traficomin todistusta vaatimustenmukaisuudesta (L 1406/2011). Organisaatiolta, joka on tilannut Traficomilta tietojärjestelmän tietoturvallisuusarvioinnin tai -hyväksynnän, peritään käytettyyn aikaan perustuva maksu 6. Tilaajaorganisaatiolla on oikeus saada Traficomilta arvio maksun suuruudesta. ARVIOINTI- JA HYVÄKSYNTÄPROSESSIEN KUVAUS Arviointiprosessi koostuu kuudesta keskeisestä suoritteesta sekä näitä täydentävistä osasuoritteista. Hyväksyntäprosessiin kuuluu lisäksi seitsemäs suorite, sekä arviointiprosessin kanssa valtaosin yhteneväiset osasuoritteet. Tässä kuvataan kukin suorite sillä tarkkuudella, että tilaajaorganisaatio saa selkeän yleiskuvan siltä vaadittavista toimista. Arviointiprosessia on havainnollistettu kuvassa 1. Hyväksyntäprosessia on havainnollistettu kuvassa 2. 1. Arviointi- tai hyväksyntäpyyntö Traficomille Tilaajaorganisaatiolla on mahdollisuus hakea järjestelmälle Traficomin arviointia tai hyväksyntää. Haettaessa lain 1406/2011 mukaista todistusta vaatimustenmukaisuudesta, pyyntö käsitellään hyväksyntää vastaavalla menettelyllä. Arviointi- tai hyväksyntäpyyntö suositellaan lähetettäväksi vasta, kun tilaajaorganisaatiossa uskotaan, että arvioinnin kohde täyttää arviointikriteeristön 7 vaatimukset. Arviointi- tai hyväksyntäpyynnöstä on käytävä ilmi: Järjestelmän nimi Lyhyt luonnehdinta järjestelmästä ja sen laajuudesta Käsitteleekö järjestelmä kansallista, kansainvälistä vai sekä kansallista että kansainvälistä salassa pidettävää tietoa Korkein käsiteltävä turvaluokka Järjestelmän omistaja, rakentaja ja ylläpitäjä Järjestelmän tila: suunnitteilla / rakenteilla / valmis / käytössä Järjestelmään liittyvät ulkoiset tai sisäiset vaatimukset, sekä suunniteltu käyttöönottopäivä Yhteyshenkilön nimi ja yhteystiedot Laskutustiedot Pyyntöön on Traficomilta saatavissa esitäytetty lomake 8. Mikäli järjestelmään on tehty hyväksytyn arviointilaitoksen arviointi, pyydetään arviointilaitoksen raportti toimittamaan pyynnön liitteenä. Pyyntö on toimitettava kirjallisesti Traficomin kirjaamoon osoitteeseen: Liikenne- ja viestintävirasto Traficom / Kirjaamo, NCSA-yksikkö, Erik Palménin aukio 1, Helsinki, PL 313, 00059 TRAFICOM. 5 Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004), http://www.finlex.fi/fi/laki/alkup/2004/20040588 6 Valtion maksuperustelaki (150/1992), http://www.finlex.fi/fi/laki/ajantasa/1992/19920150. 7 Tyypillisesti Katakri (https://www.defmin.fi/katakri) tai PiTuKri (https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/pilvipalveluiden_turvallisuuden_arviointikriteeristo _PiTuKri.pdf) 8 www.ncsa.fi > Lomakkeita > Pyyntö tietojärjestelmän tietoturvallisuushyväksynnälle tai -arvioinnille

Kuva 1. Arviointiprosessi. 3 (6)

Kuva 2. Hyväksyntäprosessi. 4 (6)

5 (6) 2. Traficomin vastaus Traficom pyrkii antamaan vastauksensa kahden viikon kuluessa pyynnön saapumisesta. Mikäli pyynnöstä ilmenee, että edellytyksiä arviointi- tai hyväksyntäprosessin aloittamiseen ei ole, pyyntö palautetaan täydennettäväksi. Arviointi- tai hyväksyntäprosessin aloittamisen edellytysten täyttyessä Traficomin vastauksesta selviää: Ehdotus esipalaverin ajaksi Esipalaveriin tilaajaorganisaatiolta vaadittavat dokumentit 3. Esipalaveri tilaajaorganisaation kanssa Esipalaverin tavoitteena on saada yleiskuva tarkastuksen kohteena olevasta tietojärjestelmästä, sekä saavuttaa yhtenevä ymmärrys arviointi- tai hyväksyntäprosessin käytännön toimista. Esipalaveri pidetään lähtökohtaisesti seuraavien toimijoiden kesken: Tarkastajat (Traficomin järjestelmätarkastuksen edustajat) Järjestelmän omistaja Järjestelmän rakentaja Järjestelmän ylläpitäjä Esipalaverissa Traficomille luovutetaan 9 mahdollisuuksien mukaan seuraavat dokumentit: Kuvaus järjestelmän rakenteesta 10 Tiedot mahdollisista aikaisemmista tarkastuksista, arvioinneista ja/tai hyväksynnöistä raportteineen Järjestelmäkohtaiset erityisvaatimukset 11 Traficomilla on mahdollisuus myöntää kansallista salassa pidettävää tietoa käsittelevälle järjestelmälle hyväksyntä pohjautuen hyväksytyn arviointilaitoksen suorittamaan arviointiin (L 1405/2011 12 ). Myöntämisen keskeisinä ehtoina ovat tehtyjen tarkastusten rajausten yhteneväisyydet haettavan hyväksynnän rajauksiin sekä toimitettujen arviointiraporttien tietojen riittävyys. Hyväksyntää varten Traficom suorittaa tarvittaessa tarkentavia arviointeja tai pyytää tilaajaorganisaatiolta lisäselvitystä sen varmistamiseksi, että hyväksynnän kohde täyttää soveltuvat tietoturvallisuusvaatimukset. 4. Tarkastusten valmistelevat toimet Traficom laatii osana tarkastusten valmistelevia toimiaan tarkastussuunnitelmaluonnoksen, jossa kuvataan yleistasolla kyseisen järjestelmän tarkastamiseen liittyvät asiakokonaisuudet ja tarkastusten aikataulutus. Tilaajaorganisaatiolle annetaan mahdollisuus kommentoida tarkastussuunnitelmaa. Suunnitelma viimeistellään yhteistyössä tilaajaorganisaation kanssa. Tilaajaorganisaatiota edellytetään toimittamaan tarkastussuunnitteluun seuraavat tiedot: Kuvaus järjestelmän rakenteesta ja toimintaperiaatteista (järjestelmädokumentaatio) Kuvaus järjestelmän vaatimustenmukaisuuden nykytilasta (itsearviointi) Kuvauksista tulee selvitä järjestelmän rakenne, toimintaperiaatteet ja suojaamiskäytännöt. Kuvausten tulee olla sellaisella tarkkuudella, että niiden avulla pystytään suunnittelemaan järjestelmän tarkastuskokonaisuudet ja räätälöimään tarkastuksessa käytetyt työkalut tarkastuskohteen mukaisesti. Kuvaukseen vaatimustenmukaisuuden nykytilasta on Traficomilta saatavissa esitäytetty lomake 13. Arviointitai hyväksyntäprosessi päätetään, mikäli edellytettyjä kuvauksia ei toimiteta 6 kuukauden kuluessa esipalaverista lukien. 9 Traficomilla ja sen lukuun toimivilla asiantuntijoilla on oikeus saada nähtäville tai käyttöönsä ne tiedot, jotka ovat tarpeen tarkastusten suorittamista varten. Traficomilla on lisäksi oikeus päästä tarkastuksen kohteen toimitiloihin. Tiedonsaantioikeudesta ja pääsystä toimitiloihin säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) 6 :ssä ja kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 16 :ssä. Traficom ja Traficomissa toimivat ovat velvollisia noudattamaan lakia viranomaisten toiminnan julkisuudesta (621/1999). Julkisuuslaissa säädetään muun muassa salassa pidettävien tietoja koskevasta vaitiolovelvollisuudesta ja hyväksikäyttökiellosta (julkisuuslaki 22 ja 23 ), joiden rikkomisesta säädetään rikoslaissa (julkisuuslaki 35 ). Traficomin tulee lisäksi noudattaa julkisuuslain 18 :n mukaista hyvää tiedonhallintatapaa ja asetusta tietoturvallisuudesta valtionhallinnossa, jossa säädetään asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista. 10 Esimerkiksi verkkokuvat ja listaukset järjestelmäkomponenteista käyttöjärjestelmineen. 11 Turvaluokiteltujen tietojen omistajat asettavat usein järjestelmän käyttöluvan ehdoksi järjestelmäkohtaisen turvallisuusvaatimusmäärittelyn (SSRS, System-Specific Security Requirements Statement) täyttämisen. 12 Laki tietoturvallisuuden arviointilaitoksista (1405/2011), http://www.finlex.fi/fi/laki/alkup/2011/20111405. 13 www.ncsa.fi > Lomakkeita > Kuvaus järjestelmän vaatimustenmukaisuuden nykytilasta

6 (6) Tilaajaorganisaatiota edellytetään sitoutumaan suunnitelmassa kuvattavaan aikataulutukseen. Tilaajaorganisaatiota edellytetään myös järjestävän tarkastuksen mahdollistavat menettelyt tarkastuksen kohteessa. Tällaisiin menettelyihin sisältyvät tyypillisesti soveltuvat henkilöstö- ja tilavaraukset, sekä tarvittavien loogisten ja fyysisten pääsyoikeuksien järjestämiset. 5. Tarkastus Tarkastukseen sisältyy kohteen tietoturvallisuuden tutkiminen sen selvittämiseksi, vastaako kohteen tietoturvallisuuden tila siihen kohdistuvia vaatimuksia. Tarkastus koostuu yleensä hallinnollisesta ja teknisestä osuudesta. Tarkastukseen sisältyy yleensä myös fyysisen turvallisuuden osuus. Tarkastuksessa käytettyjä todennusmenetelmiä on kuvattu yksityiskohtaisemmin ohjeessa tietoturvallisuuden arviointilaitoksille 14 (luvut 5.4.2 ja 5.4.3). Tarkastuskokonaisuuden päätteeksi käydään keskeiset havainnot läpi yhdessä kohdeorganisaation kanssa. Tilaajaorganisaatiolle toimitetaan pyydettäessä myös raportti järjestelmän tai sen osakokonaisuuden vaatimustenmukaisuuden nykytilasta. Raportti pyritään toimittamaan kuuden viikon kuluessa viimeisimmästä tarkastuskäynnistä. 6. Arvioinnin jatkamisen perusteet Arviointiprosessissa tarkastus- ja raportointialiprosessia jatketaan lähtökohtaisesti tilaajaorganisaation tarpeiden mukaisesti. Hyväksyntäprosessissa tarkastus- ja raportointialiprosessia jatketaan, kunnes järjestelmälle asetettujen vaatimusten on todennettu täyttyneen. Arviointi- tai hyväksyntäprosessi voidaan päättää myös tilanteessa, jossa tarkastusta ei pystytä aloittamaan tai tarkastuksissa havaittujen poikkeamien korjausten etenemisestä ei saada näyttöä 6 kuukauden aikana, tai mikäli tilaajaorganisaatio pyytää prosessin päättämistä. 7. Järjestelmän käytölle ehdollinen hyväksyntä Vaatimukset täyttävälle järjestelmälle voidaan myöntää hyväksyntä. Hyväksynnän myöntäminen edellyttää, että tarkastuksen kohde sitoutuu turvallisuuden tason säilyttämiseen. HYVÄKSYNNÄN VOIMASSAOLO Traficomin myöntämä hyväksyntä on voimassa lähtökohtaisesti 3 vuotta myöntämispäivästä lukien. Hyväksyntä raukeaa, mikäli tarkastetussa kohteessa tapahtuu merkittävä sen turvallisuuteen vaikuttava muutos. Tällaisia voivat olla esimerkiksi merkittävät verkkorakenteen, henkilöstön, turvakäytäntöjen tai toimitilojen muutokset. Tavanomaisesta ylläpidosta aiheutuvat muutokset, kuten esimerkiksi ohjelmistojen turvapäivitysten asennukset, eivät aiheuta voimassaolevan hyväksynnän raukeamista. Tapauskohtaiset ehdot hyväksynnän raukeamiselle määritellään hyväksynnän myöntämisen yhteydessä. Merkittävät muutokset tulee hyväksyttää etukäteen Traficomilla. TARJOTTAVAT TUKIPALVELUT JA LISÄTIETOKYSELYT Traficom pystyy tukemaan arviointi- ja hyväksyntäprosesseihin osallistuvia organisaatioita tietoturvallisuuden neuvontapalvelulla. Neuvontapalvelun tarkoituksena on varmistaa, että asiakkailla on riittävä ymmärrys sovellettavasta tulkintakäytännöstä sekä soveltuvista ratkaisukäytännöistä. Neuvontapalvelun käyttö ei takaa, että arviointi- tai hyväksyntäpalvelun kohde täyttäisi kaikki siihen kohdistuvat suojausvaatimukset. Lopullinen arvio kohteen vaatimustenmukaisuuden nykytilasta tehdään aina osana arviointi- tai hyväksyntäpalvelua. Kohteen arviointiin välittömästi osallistuva asiantuntija ei voi jääviyssyistä neuvoa kohdeorganisaatiota arvioinnissa havaittujen puutteiden korjaamisessa kuin yleisellä, vaatimusten tulkintaa avaavalla tasolla. Lisätietoja on saatavilla osoitteesta neuvontapalvelu (at) traficom (piste) fi. 14 Ohje tietoturvallisuuden arviointilaitoksille, https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/regulation/ohje-tietoturvallisuuden-arviointilaitoksille- 210-2016o.pdf.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute