Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit



Samankaltaiset tiedostot
Liikenne- ja viestintävirasto Traficomin suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Viestintäviraston suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit

Auditoinnit ja sertifioinnit

Laki. EDUSKUNNAN VASTAUS 59/2011 vp

Varmaa ja vaivatonta viestintää kaikille Suomessa

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Markkina-analyysi hankealueen tukikelpoisuudesta: Etelä-Pohjanmaa hankealue Alavus

Markkina-analyysi hankealueen tukikelpoisuudesta: Etelä-Karjala hankealue Lemi

Markkina-analyysi hankealueen tukikelpoisuudesta: Pohjois-Pohjanmaa

Yritysturvallisuusselvitys ja Pääesikunnan kokemukset niistä

Turvallisuusselvityslainsäädännön uudistus

Viestintäviraston päätös käyttöoikeuden myöntämisestä pilotointikäyttöön

Päätös MNC-tunnuksen myöntämisestä

EDUSKUNNAN VASTAUS 95/2004 vp. Hallituksen esitys Euroopan Avaruusjärjestöä koskevan yleissopimuksen sopimuspuolten ja

Tämä analyysi korvaa päivätyn analyysin /9520/2011 MARKKINA-ANALYYSI TUKIKELPOISESTA ALUEESTA LAPPI HANKEALUE 57 (KOLARI)

Turvallisuusselvityslainsäädännön uudistus. Vaikutukset kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa

Viestintäviraston päätös käyttöoikeuden siirrosta

Ohje arviointikriteeristöjen tulkinnasta

@ Viestintävirasto Analyysi 1 (5)

Henkilötietojen käsittelyn ehdot. 1. Yleistä

TURVALLISUUSSELVITYSLAKI JA PUOLUSTUSVOIMIEN SIDOSRYHMÄTURVALLISUUS

Markkina-analyysi hankealueen tukikelpoisuudesta: Pohjois-Pohjanmaa hankealue Sievi

Määräys SÄHKÖPOSTIPALVELUJEN TIETOTURVASTA JA TOIMIVUUDESTA. Annettu Helsingissä 19 päivänä syyskuuta 2008

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä xx päivänä yykuuta 2007

1(5) Lisätietoja toimiluvista ja hakumenettelystä on nähtävillä valtioneuvoston verkkosivuilla osoitteessa xxx.

NCSA-FI:n hyväksymät salausratkaisut

Määräys PUHELINNUMERON SIIRRETTÄVYYDESTÄ. Annettu Helsingissä 23 päivänä tammikuuta 2006

Pilvipalveluiden arvioinnin haasteet

Määräys VIESTINTÄVERKON VERKONHALLINNASTA. Annettu Helsingissä 24 päivänä elokuuta 2007

Määräys TELELIIKENTEEN ESTOLUOKISTA. Annettu Helsingissä 5 päivänä huhtikuuta 2005

Määräys TILAAJAN NUMEROTIETOJEN SIIRROSTA VIESTINTÄVERKOSSA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

Määräys HÄTÄLIIKENTEEN OHJAUKSESTA JA VARMISTAMISESTA. Annettu Helsingissä 5 päivänä toukokuuta 2011

3.1. DialOk käsittelee Käsiteltäviä tietoja sopimuksen ja Asiakkaalta saatujen kirjallisten ohjeiden mukaisesti.

TURVALLISUUSSELVITYSLAIN- SÄÄDÄNNÖN KOKONAISUUDISTUS. Tausta, tavoitteet ja tarkoitus

Luottamusta lisäämässä

Turvallisuusviranomaisten käsikirja yrityksille

VIESTINTÄVIRASTON PÄÄTÖS KOSKIEN ACN:N NUMERONSIIRTOTILAUKSEN SITOVUUTTA

Määräys POSTILAATIKKOJEN SIJOITTELUSTA. Annettu Helsingissä 31 päivänä toukokuuta 2011

Määräys TUNNISTAMISTIETOJEN TALLENNUSVELVOLLISUUDESTA. Annettu Helsingissä 24 päivänä toukokuuta 2011

1.3. Tämä liite sekä henkilötietojen käsittelyn kuvaus -liite korvaavat aiemman sopimukseen liitetyn Tietosuojaliitteen.

Lennonjohtajan ja lennonjohtajaoppilaan lupakirja

Ehdotus. KOMISSION ASETUKSEKSI (EY) N:o /.. annettu [ ]

HALLINTOSÄÄNTÖ, TARKASTUSLAUTAKUNNAN OSUUDET. 2 luku Toimielinorganisaatio. 9 Tarkastuslautakunta

Määräys VIESTINTÄVERKON RAKENTEESTA, LIITYNTÄPISTEISTÄ, HF (HUMAN FACTORS)-NÄKÖKOHDISTA, TÄRKEYSLUOKITTELUSTA JA VARMISTAMISESTA.

Laki. EDUSKUNNAN VASTAUS 91/2012 vp

1.1. Tämä sopimusliite Henkilötietojen käsittelyn ehdot on osa kuljetuspalvelujen operaattoripalvelusopimusta

Aikaisempi laki osoittautui riittämättömäksi

Tietoturvapolitiikka

REKISTERINPITÄJÄ JA YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA Rekisterinpitäjä: Tmi ML-hahmoterapia Yhteyshenkilö: Mikko Lounela Puh:

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

EUROOPAN YHTEISÖJEN KOMISSIO. Luonnos. KOMISSION ASETUS (EY) N:o /2010, annettu [ ],

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Rekisterin nimi Varhaiskasvatuksen tuettu varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

LAUSUNTOPYYNTÖ VUONNA 2014 KÄYNNISTYVISTÄ JULKISTA TUKEA HAKEVISTA LAAJAKAISTAHANKKEISTA

Viestintäviraston päätös yleispalveluyritysten nimeämisestä internetyhteyspalvelujen

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Tietosuojaseloste / Yksityisteiden yhteyshenkilörekisteri

Määräys. Viestintävirasto on määrännyt 23 päivänä toukokuuta 2003 annetun viestintämarkkinalain (393/2003) 129 :n nojalla: 1 Soveltamisala

Viestintäviraston NCSA-toiminnon hyväksymät salausratkaisut

WestStar Oy Aleksanterinkatu 17 B Lahti. Liite Henkilötietojen käsittely

Ohje tietoturvallisuuden arviointilaitoksille

AUTOMAATTISTEN SAMMUTUSLAITTEISTOJEN SUUNNITTELUTOIMISTON HYVÄKSYMINEN

Määräys. 1 Soveltamisala

Tietosuojaselostepohja GDPR

Hakemus palveluntuottajaksi palvelusetelillä tuotettavaan mielenterveyskuntoutujien tukiasumiseen

AUTOMAATTISTEN SAMMUTUSLAITTEISTOJEN SUUNNITTELUTOIMISTO

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Liperin kunnan päätöksenteko- ja asianhallinta (hallinnolliset asiat)

Laki. kansalaisuuslain muuttamisesta

Turvallisuusselvityslaki ja käytännön toimijat. Säätytalo Suojelupoliisin lausuntotoiminto, ylitarkastaja Astrid Geisor-Goman

Sallan koulukeskuksen YLEISÖTILAISUUDEN PELASTUSSUUNNITELMA. (Pelastuslaki 379/ ) (VN asetus pelastustoimesta 407/ ) Tarkastettu

Lausuntopyyntö vuonna 2017 käynnistyvistä julkista tukea hakevista laajakaistahankkeista

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Sastamalan kaupungin uusi hallintosääntö

7 Poliisin henkilötietolaki 50

Määräys. 1 luku Soveltamisala ja määritelmät. 1 Soveltamisala

Moniammatillisista työryhmistä ja tietojen vaihdosta lastensuojelun kentässä Jyväskylä Maria Haarajoki Lakimies, OTM Pelastakaa Lapset ry

Tietosuojaseloste / Timmi tilavarausjärjestelmä

Tietoturvallisuusliite

Lain vaatimusten toteutumisen valvonta ja ohjaus Ammattimainen käyttäjä laiteturvallisuuden varmistajana Tarja Vainiola, ylitarkastaja

Ohje tietoturvallisuuden arviointilaitoksille

Valtioneuvoston asetus

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Valtuuskunnille toimitetaan oheisena asiakirja COM(2017) 408 final LIITE 1.

Määräys VIESTINTÄVERKKOJEN YHTEENLIITETTÄVYYDESTÄ, YHTEENTOIMIVUUDESTA JA MERKINANNOSTA. Annettu Helsingissä 1 päivänä huhtikuuta 2005

Uusi Oulu Oulun kaupungin ulkoinen valvonta. Kaupunginvaltuutettujen koulutus Kaupunginreviisori Annikki Parhankangas

Tietosuojaseloste Seloste henkilötietojen käsittelystä ja rekisteröidyn oikeuksista EU:n yleinen tietosuoja-asetus (679/2016)

Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh Nimi ja tehtävänimike

LIITE 2: KELPOISUUSEHTOJEN JA TARJOUKSEN RAKENTEEN TARKISTUSLOMAKE

Luvan pyytäminen matkaviestinverkon puhelinliittymien puhelinmarkkinointiin puhelun aikana

APOTTI ASIAKAS- JA POTILASTIETOJÄRJESTELMÄN KÄYTTÖPALVELUIDEN HANKINTA

Päätös Yleisradio Oy:n äänipalvelujen toteuttamisesta televisio-ohjelmissa vuonna 2013

Menettely auditoinnin lopputuloksen uudelleen käsittelemiseksi

SÄHKE2-SOVELLUSAUDITOINNIT

Rekisterinpitäjä Kotkan kaupunki, Hyvinvointipalvelut, Hyvinvointilautakunta. Varhaiskasvatusjohtaja Raili Liukkonen

Rekisterin nimi Varhaiskasvatuksen varhaiskasvatussuunnitelma. Varhaiskasvatusjohtaja Raili Liukkonen. Yhteystiedot Puh.

Transkriptio:

Ohje 1 (6) 7.5.2015 Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit Tilaajaorganisaation näkökulma JOHDANTO Kansainvälisistä tietoturvallisuusvelvoitteista, turvallisuusselvityksistä sekä viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annettujen lakien 1 mukaan Viestintäviraston tehtäviin kuuluvat erilaiset tietojärjestelmien turvallisuusarvioinnit ja -hyväksynnät. Viestintäviraston NCSA-toiminnon suorittamat tietojärjestelmien arviointi- ja hyväksyntäprosessit sisältävät tilaajaorganisaatiolta vaadittavia suoritteita. Tässä ohjeessa kuvataan arviointi- ja hyväksyntäprosessit tilaajaorganisaation näkökulmasta. Kuvauksessa määritellään käytetyt termit, esitellään arvioinnin ja hyväksynnän edellytykset ja perittävien maksujen määräytyminen, esitellään tilaajaorganisaatiolta vaadittavia suoritteita osana arviointi- tai hyväksyntäprosessia sekä määritellään hyväksynnän voimassaolon ehdot. MÄÄRITELMÄT "Hyväksynnällä/hyväksyntäprosessilla" (accreditation) tarkoitetaan prosessia, jonka päätteeksi turvallisuusjärjestelyt hyväksyvä viranomainen 2 antaa virallisen lausunnon siitä, että järjestelmä on hyväksytty käytettäväksi määritellyssä turvaluokassa, tiettyä turvallisuuden takaavaa toimintatapaa noudattaen käyttöympäristössään ja hyväksyttävällä riskitasolla, sen pohjalta, että hyväksytyt tekniset, fyysiset, organisatoriset ja menettelyyn liittyvät turvatoimet on toteutettu. Arvioinnilla/arviointiprosessilla (assessment) tarkoitetaan prosessia, jonka päätteeksi turvallisuusjärjestelyt hyväksyvä viranomainen antaa virallisen lausunnon siitä, miltä osin järjestelmä täyttää siihen kohdistuvat vaatimukset. Arviointiprosessi on usein hyväksyntäprosessin osaprosessi. "Tarkastuksella" (audit) tarkoitetaan riippumattoman tahon suorittamaa kohteen, sen toiminnan ja toiminnan tulosten yleensä määräajoin tapahtuvaa tutkimista sen selvittämiseksi, vastaako järjestelmä siihen kohdistuvia vaatimuksia. 1 Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004). Turvallisuusselvityslaki (726/2014). Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011). 2 Security Accreditation Authority (SAA), tässä Viestintäviraston NCSA-toiminto. Lisätietoa: Kansallisen turvallisuusviranomaisen ohje kansainvälisen turvallisuusluokitellun tietoaineiston käsittelystä, www.formin.finland.fi > Palvelut > Kansallinen turvallisuusviranomainen (NSA) > Kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyohje Viestintävirasto Kommunikationsverket Finnish Communications Regulatory Authority Itämerenkatu 3 A PL 313 00181 Helsinki Puhelin 09 69 661 www.viestintävirasto.fi Östersjögatan 3 A PB 313, FI-00181 Helsingfors, Finland Telefon +358 9 69 661 www.kommunikationsverket.fi Itämerenkatu 3 A P.O. Box 313, FI-00181 Helsinki, Finland Telephone +358 9 69 661 www.ficora.fi

2 (6) ARVIOINNIN JA HYVÄKSYNNÄN EDELLYTYKSET SEKÄ PERITTÄVÄT MAKSUT NCSA:n suorittamat tietoturvallisuusarvioinnit ja -hyväksynnät edellyttävät tilaajaorganisaatiolta perusteltua tarvetta käsitellä kansallista tai kansainvälistä salassa pidettävää tietoa. Arviointimenettelyn piiriin kuuluvat viranomaisen määräämisvallassa olevat tai hankittavaksi suunnittelemat järjestelmät, joista viranomainen on tehnyt Viestintävirastolle arviointipyynnön (L 1406/2011 3 ), ja valtiovarainministeriön pyynnöstä tehtävät selvitykset valtionhallinnon viranomaisen määräämisvallassa olevien tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta (L 1406/2011). NCSA:n hyväksyntämenettelyn piiriin kuuluvat valtionhallinnon toimijoiden järjestelmät siltä osin, kun ne liittyvät kansainvälisten tietoturvavelvoitteiden täyttämiseen (L 588/2004 4 ), ja kansalliseen tai kansainväliseen yritysturvallisuusselvitysprosessiin hakeutuneiden yritysten järjestelmät siltä osin, kun ne edellyttävät kansallisen tietoturvallisuusviranomaisen (NCSA) hyväksyntää (L 588/2004) tai todistusta vaatimustenmukaisuudesta (L 726/2014). Viranomaisella on mahdollisuus hakea Viestintäviraston todistusta vaatimustenmukaisuudesta (L 1406/2011) myös arviointimenettelyn piiriin kuuluvista järjestelmistä. Organisaatiolta, joka on tilannut Viestintävirastolta tietojärjestelmän tietoturvallisuusarvioinnin tai -hyväksynnän, peritään käytettyyn aikaan perustuva maksu 5. Tilaajaorganisaatiolla on oikeus saada Viestintävirastolta arvio maksun suuruudesta ennen tilauksen tekoa. ARVIOINTI- JA HYVÄKSYNTÄPROSESSIEN KUVAUS Arviointiprosessi koostuu kuudesta keskeisestä suoritteesta sekä näitä täydentävistä osasuoritteista. Hyväksyntäprosessiin kuuluu lisäksi seitsemäs suorite, sekä arviointiprosessin kanssa valtaosin yhteneväiset osasuoritteet. Tässä kuvataan kukin suorite sillä tarkkuudella, että tilaajaorganisaatio saa selkeän yleiskuvan siltä vaadittavista toimista. Arviointiprosessia on havainnollistettu kuvassa 1. Hyväksyntäprosessia on havainnollistettu kuvassa 2. 1. Arviointi-, todistus- tai hyväksyntäpyyntö NCSA:lle Tilaajaorganisaatiolla on mahdollisuus hakea järjestelmälle NCSA:n arviointia, todistusta vaatimustenmukaisuudesta tai hyväksyntää. Haettaessa todistusta vaatimustenmukaisuudesta, pyyntö käsitellään hyväksyntää vastaavalla menettelyllä. Ennen arviointi-, todistus- tai hyväksyntäpyynnön lähettämistä tilaajaorganisaatiota suositellaan tutustumaan NCSA:ltä saatavaan yleiseen tarkistuslistaan 6. Pyyntö suositellaan lähetettäväksi vasta, kun tilaajaorganisaatiossa uskotaan, että arvioinnin kohde täyttää tarkistuslistan vaatimukset. Arviointi-, todistus- tai hyväksyntäpyynnöstä on käytävä ilmi: Järjestelmän nimi Lyhyt luonnehdinta järjestelmästä ja sen laajuudesta Käsitteleekö järjestelmä kansallista, kansainvälistä vai sekä kansallista että kansainvälistä salassa pidettävää tietoa Korkein käsiteltävä turvaluokka Järjestelmän omistaja, rakentaja ja ylläpitäjä Järjestelmän tila: suunnitteilla / rakenteilla / valmis / käytössä Järjestelmään liittyvät ulkoiset tai sisäiset vaatimukset, sekä suunniteltu käyttöönottopäivä Yhteyshenkilön nimi ja yhteystiedot Pyyntöön on NCSA:ltä saatavissa esitäytetty lomake 7. Mikäli järjestelmään on tehty hyväksytyn arviointilaitoksen arviointi, pyydetään arviointilaitoksen raportti toimittamaan pyynnön liitteenä. Pyyntö on toimitettava kirjallisesti Viestintäviraston kirjaamoon osoitteeseen: Viestintävirasto / Kirjaamo, Tarkastukset ja hyväksynnät -ryhmä / Aki Tauriainen, Itämerenkatu 3A, PL 313, 00181 Helsinki. 3 Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011), http://www.finlex.fi/fi/laki/alkup/2011/20111406 4 Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004), http://www.finlex.fi/fi/laki/alkup/2004/20040588 5 Valtion maksuperustelaki (150/1992), http://www.finlex.fi/fi/laki/ajantasa/1992/19920150. 6 www.ncsa.fi > Asiakirjat > Työkalu tietoturvallisuuden arviointiin 7 www.ncsa.fi > Asiakirjat > Pyyntö tietojärjestelmän tietoturvallisuushyväksynnälle/-arvioinnille

Kuva 1. Arviointiprosessi. 3 (6)

Kuva 2. Hyväksyntäprosessi. 4 (6)

5 (6) 2. NCSA:n vastaus NCSA pyrkii antamaan vastauksensa kahden viikon kuluessa pyynnön saapumisesta. Mikäli pyynnöstä ilmenee, että edellytyksiä arviointi- tai hyväksyntäprosessin aloittamiseen ei ole, pyyntö palautetaan täydennettäväksi. Arviointi- tai hyväksyntäprosessin aloittamisen edellytysten täyttyessä NCSA:n vastauksesta selviää: Ehdotus esipalaverin ajaksi Esipalaveriin tilaajaorganisaatiolta vaadittavat dokumentit 3. Esipalaveri tilaajaorganisaation kanssa Esipalaveri pidetään lähtökohtaisesti seuraavien toimijoiden kesken: Tarkastajat (NCSA:n järjestelmätarkastuksen edustajat) Järjestelmän omistaja Järjestelmän rakentaja Järjestelmän ylläpitäjä Esipalaverissa NCSA:lle luovutetaan 8 mahdollisuuksien mukaan seuraavat dokumentit: Vaatimusmäärittely 9, erityisesti järjestelmäkohtainen turvallisuusvaatimusmäärittely (SSRS, System-Specific Security Requirements Statement) Verkkokuvat Lista käytetyistä käyttöjärjestelmistä ja ohjelmistoista versiotietoineen Tiedot mahdollisista aikaisemmista tarkastuksista, arvioinneista ja/tai hyväksynnöistä raportteineen Itsearviointi järjestelmän vaatimustenmukaisuudesta 10. Ideaalitilanteessa dokumenteista selviää muun muassa verkon rakenne, IP-osoitteet, vyöhykkeet, segmentit, palomuurisäännöstöt, verkkolaitteiden käyttöjärjestelmä-/firmware-versiot, palvelinten ja tuotantojärjestelmien ohjelmistoversiot ja asetukset, ja muut vastaavat tiedot sillä tarkkuudella, että niiden perusteella ulkopuolinen pystyy saattamaan vikaantuneet verkot ja järjestelmät käyttökuntoon. NCSA:llä on mahdollisuus myöntää järjestelmälle todistus tai hyväksyntä pohjautuen hyväksytyn arviointilaitoksen suorittamaan arviointiin (L 1405/2011 11 ). Myöntämisen keskeisinä ehtoina ovat tehtyjen tarkastusten rajausten yhteneväisyydet haettavan todistuksen tai hyväksynnän rajauksiin sekä toimitettujen arviointiraporttien tietojen riittävyys. Todistusta tai hyväksyntää varten NCSA suorittaa tarvittaessa tarkentavia arviointeja tai pyytää tilaajaorganisaatiolta lisäselvitystä sen varmistamiseksi, että hyväksynnän kohde täyttää soveltuvat tietoturvallisuusvaatimukset. Mikäli tarkastussuunnittelun edellyttämiä esitietoja ei saada järjestettyä esipalaveriin tai niitä ei pystytä toimittamaan esipalaverin jälkeen, voidaan esipalavereja järjestää tarvittaessa useampia. 4. Tarkastusten valmistelevat toimet NCSA laatii osana tarkastusten valmistelevia toimiaan tarkastussuunnitelmaluonnoksen, jossa kuvataan yleistasolla kyseisen järjestelmän tarkastamiseen liittyvät asiakokonaisuudet ja tarkastusten aikataulutus. Tilaajaorganisaatiolle annetaan mahdollisuus kommentoida tarkastussuunnitelmaa, ja suunnitelma viimeistellään yhteistyössä tilaajaorganisaation kanssa. Tilaajaorganisaatiota edellytetään toimittamaan tarkastussuunnittelun edellyttämät tiedot sekä sitoutumaan suunnitelmassa kuvattavaan aikataulutukseen. Tilaajaorganisaatiota edellytetään myös järjestävän tarkastuksen mahdollistavat menettelyt tarkastuksen kohteessa. Tällaisiin menettelyihin 8 Viestintävirastolla ja sen lukuun toimivilla asiantuntijoilla on oikeus saada nähtäville tai käyttöönsä ne tiedot, jotka ovat tarpeen tarkastusten suorittamista varten. Virastolla on lisäksi oikeus päästä tarkastuksen kohteen toimitiloihin. Tiedonsaantioikeudesta ja pääsystä toimitiloihin säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) 6 :ssä ja kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 16 :ssä. Viestintävirasto ja virastossa toimivat ovat velvollisia noudattamaan lakia viranomaisten toiminnan julkisuudesta (621/1999). Julkisuuslaissa säädetään muun muassa salassa pidettävien tietoja koskevasta vaitiolovelvollisuudesta ja hyväksikäyttökiellosta (julkisuuslaki 22 ja 23 ), joiden rikkomisesta säädetään rikoslaissa (julkisuuslaki 35 ). Viestintäviraston tulee lisäksi noudattaa julkisuuslain 18 :n mukaista hyvää tiedonhallintatapaa ja asetusta tietoturvallisuudesta valtionhallinnossa, jossa säädetään asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista. 9 Turvaluokiteltujen tietojen omistajat asettavat usein järjestelmän käyttöluvan ehdoksi järjestelmäkohtaisen turvallisuusvaatimusmäärittelyn täyttämisen. 10 Itsearviointityökalu: www.ncsa.fi > Asiakirjat > Työkalu tietoturvallisuuden arviointiin 11 Laki tietoturvallisuuden arviointilaitoksista (1405/2011), http://www.finlex.fi/fi/laki/alkup/2011/20111405.

6 (6) sisältyvät tyypillisesti soveltuvat henkilöstö- ja tilavaraukset, sekä tarvittavien loogisten ja fyysisten pääsyoikeuksien järjestämiset. 5. Tarkastus Tarkastukseen sisältyy kohteen tietoturvallisuuden tutkiminen sen selvittämiseksi, vastaako kohteen tietoturvallisuuden tila siihen kohdistuvia vaatimuksia. Tarkastus koostuu yleensä hallinnollisesta ja teknisestä osuudesta. Tarkastukseen sisältyy yleensä myös fyysisen turvallisuuden osuus. Tarkastuksessa käytettyjä todennusmenetelmiä on kuvattu yksityiskohtaisemmin Viestintäviraston ohjeessa tietoturvallisuuden arviointilaitoksille 12 (luvut 5.4.2 ja 5.4.3). Tilaajaorganisaatiolle luovutetaan tarkastuksen päätteeksi listaus tarkastuksessa havaituista poikkeamista. Tilaajaorganisaatiolle toimitetaan pyydettäessä myös raportti järjestelmän tai sen osakokonaisuuden vaatimustenmukaisuuden nykytilasta. Raportti toimitetaan lähtökohtaisesti kuuden viikon kuluessa viimeisimmästä tarkastuskäynnistä. 6. Arvioinnin jatkamisen perusteet Arviointiprosessissa tarkastus- ja raportointialiprosessia jatketaan lähtökohtaisesti tilaajaorganisaation tarpeiden mukaisesti. Hyväksyntäprosessissa tarkastus- ja raportointialiprosessia jatketaan, kunnes järjestelmälle asetettujen vaatimusten on todennettu täyttyneen. Arviointi- tai hyväksyntäprosessi voidaan päättää myös tilanteessa, jossa tarkastusta ei pystytä aloittamaan tai tarkastuksissa havaittujen poikkeamien korjausten etenemisestä ei saada näyttöä 6 kuukauden aikana, tai mikäli tilaajaorganisaatio pyytää prosessin päättämistä. 7. Järjestelmän käytölle ehdollinen hyväksyntä tai todistus Vaatimukset täyttävälle kansainvälistä suojattavaa tietoa käsittelevälle järjestelmälle voidaan myöntää hyväksyntä. Vaatimukset täyttävälle kansallista suojattavaa tietoa käsittelevälle järjestelmälle voidaan myöntää todistus vaatimustenmukaisuudesta. Sekä hyväksynnän että todistuksen myöntäminen edellyttää, että tarkastuksen kohde sitoutuu turvallisuuden tason säilyttämiseen. HYVÄKSYNNÄN JA TODISTUKSEN VOIMASSAOLO NCSA:n myöntämä hyväksyntä on voimassa lähtökohtaisesti 3 vuotta myöntämispäivästä lukien. Myös todistus voidaan myöntää määräajaksi, jos siihen on erityinen syy. Hyväksyntä tai todistus raukeaa, mikäli tarkastetussa kohteessa tapahtuu merkittävä sen turvallisuuteen vaikuttava muutos. Tällaisia voivat olla esimerkiksi merkittävät verkkorakenteen, henkilöstön, turvakäytäntöjen tai toimitilojen muutokset. Tavanomaisesta ylläpidosta aiheutuvat muutokset, kuten esimerkiksi ohjelmistojen turvapäivitysten asennukset, eivät aiheuta voimassaolevan hyväksynnän tai todistuksen raukeamista. Tapauskohtaiset ehdot hyväksynnän tai todistuksen raukeamiselle määritellään hyväksynnän tai todistuksen myöntämisen yhteydessä. Merkittävät muutokset tulee hyväksyttää etukäteen NCSA:lla. 12 Viestintäviraston ohje tietoturvallisuuden arviointilaitoksille, https://www.viestintavirasto.fi/attachments/ohje_tietoturvallisuuden_arviointilaitoksille.pdf.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute