Tietoturvalliseen tietoyhteiskuntaan. 5.4 Sertifikaatit -työryhmän loppuraportti



Samankaltaiset tiedostot
Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

PEFC-merkintä puu- ja paperituotteiden hyvän alkuperän osoittajana

PEFC SUOMI SUOMEN METSÄSERTIFIOINTI RY

Tietoturvapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

Tiina Tuurnala Merenkulkulaitos. Paikkatietomarkkinat Helsingin Messukeskus

TIETOTURVA- POLITIIKKA

Työterveys- ja työturvallisuusjärjestelmän. sertifiointi. Trust, Quality & Progress ISO 45001:2018. Kiwa Inspecta

Uuden strategiamme ytimen voikin tiivistää muutamaan sanaan: ydintehtävät, keskittyminen, yhteistyö, vaikuttavuus ja luottamus.

SERTIFIOINNIN JA AKKREDITOINNIN EROT. Tuija Sinervo FINAS-akkreditointipalvelu

Liikenne- ja viestintäministeriön selvitys tietoyhteiskuntakaaresta

Varmaa ja vaivatonta viestintää

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Espoon Avoimen osallisuuden malli

VALTIONEUVOSTON PERIAATEPÄÄTÖKSEN PERUSTELUMUISTIO KANSALLISESTA TIETOTURVASTRATEGIASTA Turvallinen arki tietoyhteiskunnassa Ei tuurilla vaan taidolla

Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen -hallittu prosessi

Innovatiiviset julkiset hankinnat yritysten mahdollisuudet uuteen liiketoimintaan. Tuomas Lehtinen HSY Älykäs Vesi

1(5) Muutosturvatyöryhmän väliraportti

Pysähdy! Nyt on syytä miettiä tämä asia uudelleen. Kiinnitä huomiosi tähän. Hienoa, jatka samaan malliin. Innokylän arviointimittari

Biometrisen tunnistamisen tietoturvallisuus ja yksityisyyden suoja -hankkeen raportti

Varmaa ja vaivatonta viestintää kaikille Suomessa

Arviointiraportti. Patenttitoimisto Jaakko Väisänen

- Big Data Forum Finland Jari Salo, TIEKE

Hanketoiminta maatilayrittämisen ja ruokaketjun kehittämisessä. Tulevaisuus kasvaa Hämeessä Jukka-Pekka Kataja MTK Häme Toiminnanjohtaja

VRK yhteisenä tiedonhallintaa ja digitalisaatiota edistävänä toimijana. Juhta, Sami Kivivasara

Hanketoiminnan vaikuttavuus ja ohjaus klo

Suunnitelmallisuus ja organisoituminen 0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 %

Miten tietosuoja-asetusta toteutetaan Palkeiden tuottamissa palveluissa Sami Nikula

Pilvipalveluiden arvioinnin haasteet

JULKISEN HALLINNON TIETOHALLINNON NEUVOTTELUKUNNAN ASETTAMINEN

Potilasturvallisuuden johtaminen ja auditointi

Lausuntopyyntö Euroopan unionin verkko- ja tietoturvadirektiivin täytäntöönpanoon liittyvien lakien muuttamisesta annetuista laeista

PÄÄMINISTERIN PARHAAT KÄYTÄNNÖT KILPAILU

Sähköisen asioinnin ensisijaisuus

Suomalainen pilvimaisema Yhteenveto Liikenne- ja viestintäministeriön selvityksestä 2013

Pedagogisen johtamisen katselmus

Riski = epävarmuuden vaikutus tavoitteisiin. Valtionhallinnossa = epävarmuuden vaikutus lakisääteisten tehtävien suorittamiseen ja tavoitteisiin

Lausunto Ohjausvaikutusten parantamiseksi julkisen hallinnon yhteisten arkkitehtuurilinjausten laatukriteerejä ovat mm:

EU ja julkiset hankinnat

Kirsti Kärkkäinen Ideapoiju Oy

EU-tietosuoja-asetuksen toimeenpanon tukeminen Verkkokoulutus ja työpajat JUHTA Tuula Seppo erityisasiantuntija

Digitaalinen hallinto - mitä puuttuu vai puuttuuko mitään?

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

Nuorten tieto- ja neuvontatyön arvioinnin ja kehittämisen työvälineet - auditointi ja osaamiskartta

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietosuoja-asetus Miten julkinen hallinto valmistautuu?

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

POTILAS- JA ASIAKASTURVALLISUUSSTRATEGIA Potilaan ja asiakkaan aktiivinen osallistuminen

Kirjastot digitalisoituvassa maailmassa: haasteita, linjauksia ja olennaisuuksia

Julkiset palvelut diginä kansalaisille ja yrityksille 2023 yhdessä tekemällä

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

FI Moninaisuudessaan yhtenäinen FI A8-0245/92. Tarkistus

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

ISA-AUKTORISOINNIN HYÖDYT ISÄNNÖINTIYRITYKSILLE

FiCom ry:n lausunto sisältöjen siirrettävyydestä

Oulun poliisilaitoksen neuvottelukunta Kunnallisen turvallisuussuunnittelun tavoitteet ja toteutus

Kuluttajien luottamus markkinoihin ja kasvu. Ylijohtaja, kuluttaja-asiamies Päivi Hentunen KKV-päivä kkv.fi. kkv.fi

Sertifioinnin rooli tietoturvallisuudessa. atbusiness tietoturvatorstai Client-server, n-tier, web-sovellus

Kansallinen digitaalinen kirjasto

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Nuorten kuljettajien liikennekäyttäytyminen

CSC Suomalainen tutkimuksen, koulutuksen, kulttuurin ja julkishallinnon ICT-osaamiskeskus

Kansallinen paikkatietostrategia - päivitetty versio

TIETOTURVAPOLITIIKKA

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Tietoturvapäivä

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Pienimuotoisen energiantuotannon edistämistyöryhmän tulokset

Sosiaalisen median mahdollisuudet & hyödyt

Kansainvälistyvä korkeakoulu - Kansallisen strategian valmistelun käynnistämisseminaari

Auditointi. Teemupekka Virtanen

SATAFOOD KEHITTÄMISYHDISTYS RY. Laatujärjestelmät yrityksen toiminnan tehostajana Marika Kilpivuori ISO 9001 ISO / FSSC ISO 14001

Fi-verkkotunnus yksilöllinen ja suomalainen

Johdanto sisäisen turvallisuuden strategian valmisteluun. Kehittämisneuvos Harri Martikainen

Tukea digitaalisen nuorisotyön kehittämissuunnitelman laatimiseen

JHS-järjestelmä. Tommi Karttaavi

Ehdotus NEUVOSTON DIREKTIIVI

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Palveluiden strategista ja operatiivista ohjausta nykyaikaisia käytäntöjä ja innovatiivisia esimerkkejä

Tuiri Kerttula SFS Forum. Toimintaympäristön turvallisuus markkinavalvonnan näkökulmasta

Kuinka IdM-hanke pidetään raiteillaan

Hyvän johtamisen kriteerit julkiselle sektorille: Hyvällä johtamisella hyvään työelämään

KUMPPANUUSBAROMETRI

Valtion tietojärjestelmähankkeiden arviointitoiminnan kehittäminen. Arja Terho

TURVALLISUUSSELVITYSLAKI JA PUOLUSTUSVOIMIEN SIDOSRYHMÄTURVALLISUUS

Sähköisen viestinnän tietosuojalain muutos

Prosessikonsultaatio. Konsultaatioprosessi

Valtioneuvoston yleisistunto Talkkari Heikki (143) II Neuvotteleva virkamies p

Vihdin kunnan tietoturvapolitiikka

FSC-SERTIFIOINTI YHDISTÄÄ KANNATTAVAN JA VASTUULLISEN METSÄNHOIDON

Digitaalisen liiketoiminnan kasvuympäristö. Kärkihankkeet kohtaavat Kristiina Pietikäinen

Kansainvälinen yhteistyö Manner-Suomen maaseudun kehittämisohjelmassa. Leena Anttila Maa- ja metsätalousministeriö

Järkevää sääntelyä koskeva sidosryhmien kuuleminen Euroopan unionissa. Suomen Ammattiliittojen Keskusjärjestö SAK ry vastaa lausuntonaan seuraavaa:

Toisen vuoden työssäoppiminen (10 ov)

Huomioitavat asiat päivittäistavarakaupoissa myytävien käyttö- ja kulutustavaroiden turvallisuudesta ostoprosessissa

Loppuyhteenveto. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

Hankinnan problematiikka

Transkriptio:

Tietoturvalliseen tietoyhteiskuntaan 5.4 Sertifikaatit -työryhmän loppuraportti

Tietoturva-asioiden neuvottelukunnalle Sertifikaatit -hanke on osa valtioneuvoston 4. syyskuuta 2003 periaatepäätöksellä vahvistaman kansallisen tietoturvastrategian toimeenpanoa. Hankkeen tavoitteena on arvioida tarvetta edistää tietoturvallisuuteen liittyvien sertifikaattien hyödyntämistä sekä tarvetta lisätä käyttäjien ja kuluttajien tietämystä tietoturvallisuuteen liittyvien sertifikaattien merkityksestä palveluita ja tuotteita hankittaessa. Hankkeessa asetettiin Sertifikaatit -työryhmä, jonka toimikausi on 1.4.2004 31.12.2004. Työryhmän tulee raportoida kansalliselle tietoturva-asioiden neuvottelukunnalle. Työryhmä aloitti toimintansa toukokuussa 2004 ja kokoontui toimikaudellaan 8 kertaa. Hankkeeseen osallistuivat: Haapaniemi Leena, SFS-Inspecta Sertifiointi Oy Helkamäki Tarja, Elisa Oyj Kilkkilä Sami, Viestintävirasto Kokko-Herrala Riitta, Kuluttajavirasto Koskinen Sami O., TKK Perttula Juha, liikenne- ja viestintäministeriö Terho Arja, valtiovarainministeriö Tikkanen Leena, Mittatekniikan keskus Työryhmän puheenjohtajana toimi neuvotteleva virkamies Juha Perttula liikenne- ja viestintäministeriöstä.

Saatuaan työnsä päätökseen työryhmä kunnioittaen luovuttaa loppuraporttinsa siihen sisältyvine esityksineen tietoturva-asioiden neuvottelukunnalle. Helsingissä 18. päivänä helmikuuta 2005 Juha Perttula työryhmän puheenjohtaja Haapaniemi Leena Helkamäki Tarja Kilkkilä Sami Kokko-Herrala Riitta Koskinen Sami O. Terho Arja Tikkanen Leena

Johdanto Erilaisia tietoturvaan liittyviä sertifikaatteja on markkinoilla varsin paljon. Näitä sertifikaatteja koskeva tietoisuus ja niiden hyödyntäminen ei kuitenkaan ole nykyisin sillä tasolla, että sertifikaateista eri toimijoille saatavissa olevat hyödyt tulisivat riittävässä määrin hyödynnettyä. Myöskään kattavaa selvitystä tältä alueelta ei ole tehty. Hankkeen tavoitteena on omalta osaltaan vaikuttaa siihen, että eri toimijat kuten mm. laitevalmistajat ja loppukäyttäjät olisivat mahdollisimman pitkälle tietoisia niistä tietoturvaan liittyvistä sertifikaateista, joista voisi olla juuri heille hyötyä. Tavoitteena on pyrkiä vaikuttamaan siihen, että tietoturvaan liittyvistä sertifikaateista hyödynnetään mahdollisimman pitkälle niistä erilaisille toimijoille saatavissa olevat hyödyt. Hankkeessa toteutettiin kattava selvitys kansainvälisistä ja kansallisista tietoturvaan liittyvistä henkilö-, tuote-, palvelu- ja järjestelmäsertifikaateista. Tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla (luottamuksellisuus), ettei tietoja voida muuttaa muun kuin siihen oikeutetun toimesta (eheys) ja että tiedot ja tietojärjestelmät ovat niihin oikeutettujen hyödynnettävissä (käytettävyys). Tietoturvasta huolehtiminen tarkoittaa toimia toiminnan turvallisuuden, tietoliikenneturvallisuuden, laitteistoja ohjelmistoturvallisuuden sekä tietoaineistoturvallisuuden varmistamiseksi. Tietoturvaan liittyvien sertifikaattien alueella keskeisiä kansallisia toimijoita ovat mm. Tieke, valtiovarainministeriö, yliopistot, Viestintävirasto ja lukuisat yksityisen sektorin yritykset ym. toimijat. Hankkeessa on pyritty löytämään nykyisiä tietoisuuden ja sertifikaattien hyödyntämisen ongelmakohtia ja tekemään arvio niistä toimenpiteistä, joiden avulla sertifikaatteja koskevaa tietoisuutta ja niiden hyödyntämistä voitaisiin edistää.

Työryhmän työn tueksi teetetty konsulttiselvitys valmistui lokakuussa 2004. Selvityksessä kartoitettiin kaikki olemassa olevat tietoturvaan liittyvät sertifikaatit ja pohdittiin sertifikaattien hyödyntämistä monipuolisesti eri näkökulmista. Konsulttityönä toteutettu erillinen selvitys on työryhmän raportin liitteenä. Selvityksen pohjalta työryhmä pyrki arvioimaan tarvetta edistää sertifikaattien käyttöä ja käyttäjien ja kuluttajien niitä koskevaa tietoisuutta sekä pyrki laatimaan ehdotuksia mahdollisesti tarvittavista toimenpiteistä. Tietoturvaan liittyvät sertifikaatit voidaan jaotella seuraavasti: Palvelusertifikaatit ovat sertifikaatteja, joita tietoturvallisuuden osalta voidaan myöntää palveluille, jotka täyttävät sertifikaatin myöntäjän tai jonkin muun tahon ennalta asettamat tietoturvallisuusvaatimukset, ja jotka todennetaan auditoinnilla näiden vaatimusten mukaiseksi. Tuotesertifikaatit ovat sertifikaatteja, joita tietoturvallisuuden osalta voidaan myöntää tuotteille, jotka täyttävät sertifikaatin myöntäjän tai jonkin muun tahon ennalta asettamat tietoturvallisuusvaatimukset, ja jotka todennetaan auditoinnilla näiden vaatimusten mukaiseksi. Järjestelmäsertifikaatit ovat sertifikaatteja, joita voidaan myöntää organisaation toiminnassa käytettävälle järjestelmälle (esimerkiksi tietoturvallisuuden hallintajärjestelmä) tai prosessille, jotka täyttävät kansainvälisen standardin, sertifikaatin myöntäjän tai jonkin muun tahon ennalta asettamat tietoturvallisuusvaatimukset, ja jotka todennetaan auditoinnilla näiden vaatimusten mukaiseksi. Henkilösertifikaatit ovat sertifikaatteja, joita voidaan myöntää henkilöille, jotka täyttävät tietoturvallisuuden alalla sertifikaatin myöntäjän tai jonkin muun tahon ennalta asettamat edellytykset, ja jotka todennetaan näiden edellytysten mukaiseksi. Henkilösertifikaatit voidaan lisäksi jaotella tuoteriippumattomiin ja tuoteriippuvaisiin henkilösertifikaatteihin. Hankkeessa löydettiin tietoturvaan liittyviä palvelusertifikaatteja 4 kpl, tuotesertifikaatteja 2 kpl, järjestelmäsertifikaatteja 2 kpl ja henkilösertifikaatteja yhteensä 86 kpl, joista tuoteriippumattomia 53 kpl ja tuoteriippuvaisia 33 kpl.

SERTIFIKAATIT -TYÖRYHMÄN ESITYKSET Työryhmän käsityksen mukaan uusia kansallisia tietoturvaan liittyviä sertifikaatteja ei ole tarpeen lähteä luomaan. Työryhmän näkemyksen mukaan on epätodennäköistä, että uudet kansalliset sertifikaatit toisivat lisäarvoa markkinoilla jo oleviin sertifikaatteihin nähden. Sen sijaan kansalliset resurssit tulisi kohdentaa jo olemassa olevien sertifikaattien vapaaehtoisen käytön edistämiseen. Työryhmän näkemyksen mukaan tietoisuuden lisääminen on keskeisin tarve, johon tulee panostaa ja jota tulee lisätä, jotta sertifikaateista eri toimijoille saatavissa olevat hyödyt saataisiin käytettyä mahdollisimman pitkälle hyväksi. Työryhmän näkemyksen mukaan tietoisuutta tulee lisätä nimenomaan riippumattomien ja puolueettomien, akkreditoinnin avulla päteväksi todettujen sertifiointielinten myöntämien sertifikaattien osalta. 1 Kansainvälinen yhteistyö Työryhmän näkemyksen mukaan kansainväliseen sertifikaattien kehittämistä koskevaan työhön osallistuminen ja tämän työn jatkuva seuraaminen on erittäin tärkeää. Vain aktiivisesti osallistumalla voidaan pyrkiä saamaan suomalaisia näkemyksiä ja intressejä huomioon otetuksi tässä työssä. Myös suomalaisen teollisuuden ja yliopistojen mukaan kytkeminen tähän toimintaan nykyistä vahvemmin, ja suomalaisissa yrityksissä olevan osaamisen mahdollisimman laajamittainen hyödyntäminen olisi tarpeen. Suomessa ei tällä hetkellä ole esimerkiksi Common Criteria sertifiointielintä. Kyseiselle sertifioinnille ei ole ollut kysyntää niin, että siitä olisi muodostunut kaupallisesti kannattavaa toimintaa. Toisaalta konsulttien tekemän selvityksen mukaan suomalaisen sertifointielimen puutetta ei ole pidetty ongelmana sertifiointeja hankittaessa suomalaisissa yrityksissä, sillä tuotteet ovat kansainvälisillä markkinoilla ja niiden dokumentointi teh-

dään ensisijaisesti englanniksi. Kotimaista seritifiointielintä ja testauslaboratorioita olennaisempaa on kuitenkin, että asiointi sujuu ulkomaisen testauslaboratorion kanssa. Työryhmän näkemyksen mukaan tietoturvastandardoinnin osalta tarvittaisiin nykyistä enemmän kotimaisten toimijoiden panostusta ja aktiivista osallistumista standardien kehittämistyöhön. Vastaavasti myös ISO:n piirissä on parhaillaan vireillä tietoturvallisuuden hallintajärjestelmien sertifiointiin tähtäävä hanke, jonka yhtenä lähtökohtana on BS 7799 -sertifikaatin 2. osa. Työryhmän näkemyksen mukaan tähän työhön olisi tärkeää osallistua mahdollisimman aktiivisesti. Myös standardointityön koordinointia ja yhteistyömahdollisuuksien kehittämistä tulisi selvittää. Työryhmä esittää, että kaikkien kansainvälisestä yhteistyöstä tällä alueella vastaavien tahojen tulisi pyrkiä tehostamaan omalta osaltaan kasainvälistä osallistumista, ja pyrkiä löytämään keinoja riittävien resurssien varmistamiseksi kansainväliseen toimintaan osallistumista varten. Työryhmän näkemyksen mukaan keskeisten toimijoiden olisi toivottavaa ryhtyä myös konkreettisessa yhteistyössä pohtimaan keinoja kansainvälisen toiminnan kehittämiseksi ja tarvittavien resurssien varmistamiseksi. Yksityisen sektorin toimijoiden ja yliopistojen nykyistä vahvempi osallistuminen voisi olla työryhmän näkemyksen mukaan yksi keino resurssien lisäämiseen, mutta panostusta tarvittaisiin yhdessä sekä julkishallinnon että yksityisen sektorin puolelta. Yleisemmin kansainvälisessä yhteistyössä noudatettavien toimintatapojen kehittämistä pohditaan myös kansallisen tietoturvastrategian kansainvälisen yhteistyön kehittämistä koskevassa erillisessä hankkeessa (1.2). 2 Palvelusertifikaatit (Qweb, SafeBuy, Trusted Shops, Hacker Safe) Työryhmän näkemyksen mukaan palvelusertifikaateilla voisi olla selkeästi nykyistä suurempi merkitys elinkeinonharjoittajien ja palvelun tarjoajien toiminnassa palvelujen laatu- ja turvallisuustason nostajina. Tällöin palvelusertifikaatit hyödyttäisivät kaikkia toimijoita ja välillisesti myös kuluttajia ja muita loppukäyttäjiä. Palvelusertifikaattien

nykyistä laajemmalla hyödyntämisellä voitaisiin osaltaan edistää palvelujen tietoturvan ja laadun kehittymistä ja palveluja kohtaan tunnettavaa luottamusta. Suoraan kuluttajan valinnanmahdollisuuksia ohjaavana tekijänä sertifikaatit ovat kuitenkin monille kuluttajaryhmille monimutkainen ja vaikeasti ymmärrettävissä oleva ilmiö. Kuluttajien itse saattaa olla vaikeaa arvioida, mikä merkitys tietylle palveluun liitetylle sertifikaatille tulisi antaa, johtuen mm. erilaisten sertifikaattien määrästä ja niiden kriteeristöjen monimutkaisuudesta. Tämän kaltaisten suoraan kuluttajien valintoja ohjaavaksi tarkoitettujen sertifikaattien käyttö saattaa pahimmassa tapauksessa jopa johtaa kuluttajia harhaan ja luoda loppukäyttäjälle todellisuutta paremman kuvan palvelun luotettavuudesta tietoturvan kannalta. Lähtökohtana tulee tietenkin olla, että palvelujen tarjoajat noudattavat sertifikaattien asettamien vaatimusten lisäksi myös lainsäädännössä asetettuja tietoturvaa koskevia velvoitteita. Palvelusertifikaattien etuna kuitenkin on, että jokin ulkopuolinen ja riippumaton taho arvioi palvelun toteutuksen ja vahvistaa, että sertifikaatin edellyttämät seikat ovat kunnossa. Tietoturvaan liittyvät sertifikaatit mahdollistavat, että asiantunteva ja puolueeton kolmas taho arvioi palvelun tietoturvan, millä voisi olla verkkopalvelujen tietoturvan tasoa parantavia vaikutuksia. Työryhmän näkemyksen mukaan palvelusertifikaateista saatavissa olevien hyötyjen aikaansaaminen ja palvelusertifikaattien käytön yleistyminen vaatisi huomattavaa tietoisuuden lisäämistä nykyiseen verrattuna. Tämä edellyttäisi kaikkien niiden tahojen omatoimista panostamista tiedottamiseen, jotka työskentelevät sertifikaatteihin liittyvissä tehtävissä. Työryhmän näkemyksen mukaan tietoisuuden lisäämisen tulisi kohdistua erityisesti tietoverkoissa erilaisia sisältöjä ja tuotteita tarjoaviin palveluntarjoajiin. Työryhmä on pohtinut mahdollisuuksia ja tarvetta kehittää yksityisen sektorin verkkopalvelujen tietoturvavaatimuksia kuvaava kriteeristö. Työryhmän näkemyksen mukaan tällainen kriteeristö voisi olla tulevaisuudessa olennainen verkkopalveluiden tietoturvan tasoa kehittävä tekijä. Kriteeristön seuraaminen varmistaisi, että tietyn palvelun osalta ainakin tietoturvan perusasiat ovat kunnossa. Se, tulisiko kriteeristön täyttymisen arvi-

oiminen tapahtua palvelun tarjoajan oman harkinnan mukaan vai jonkin ulkopuolisen riippumattoman tahon toimesta, vaatisi vielä lisäselvitystä. Työryhmän näkemyksen mukaan kriteeristö tulisi ensisijaisesti pyrkiä kehittämään kansainvälisessä yhteistyössä Eu -tasolla. Myös Euroopan unionin verkko- ja tietoturvavirastolla saattaisi olla kehittämistyössä koordinoijan tai liikkeellepanijan rooli. Työryhmä esittää, että keskeiset kansalliset toimijat ryhtyisivät yhteistyössä selvittämään ja jatkokehittämään verkkopalvelujen tietoturvan kriteeristöä koskevaa ajatusta, ja arvioimaan sen käytännön toteuttamiskelpoisuutta. Työryhmän näkemyksen mukaan myös tietoturvastrategian hankkeessa 2.1 (Luottamus ja tietoturva sähköisissä palveluissa ohjelma) olisi jatkossa mahdollista pohtia sertifikaattien merkitystä tietoturvaa edistävänä tekijänä palvelujen konvergenssikehityksen myötä. 3 Tuote- (Common Criteria, FIPS 140-2, ITSEC) ja järjestelmäsertifikaatit (Good Privacy, BS 7799) Tuote- ja palvelusertifikaattien ja vastaavasti järjestelmäsertifikaattien kohdalla on ollut aiemmin havaittavissa kahden koulukunnan välinen näkemysero. Tuote- ja palvelusertifikaatit ovat painottaneet tietoturvasuunnittelun teknisiä yksityiskohtia, kun taas järjestelmäsertifikaatit ovat puolestaan perustuneet siihen, että organisaation laadukkailla toimintaprosessilla saavutetaan tietoturvallinen toimintaympäristö. Käyttötilanteesta riippuen kummankin koulukunnan mukaisella toteutuksella on ollut omat vahvuutensa ja heikkoutensa. Nyt näyttäisi kuitenkin siltä, että markkinoille on tulossa uudenlaisia sertifikaatteja (QWeb, GoodPriv@cy ja Trusted Shops), joissa on yhdistetty kummankin koulukunnan parhaita puolia. Markkinoilla tuntuu olevan varsin yleinen käsitys, että tuotteiden ja järjestelmien sertifiointi on aina pitkä ja kallis prosessi. Tuotteiden sertifioinnin kohdalla tämä seikka korostuu, koska esimerkiksi Common Criteria, FIPS 140-2 ja ITSEC -tuotesertifikaatti pätee ainoastaan tuotteen sertifioidussa versiossa ja ainoastaan sen tietyssä konfiguraa-

tiossa. Common Criterian kohdalla on kuitenkin mahdollista sertifioida myös tietoturvavirheiden korjausmenettely (Flaw Remediation Assurance). Työryhmän näkemyksen mukaan edellä mainittu käsitys sertifioinnin korkeista kustannuksista johtuu kuitenkin ainakin osittain siitä, että erilainen valmisteleva työ ja sertifioinnin vaatimukset täyttävän tietoturvan toteuttaminen voi tilanteesta riippuen maksaa hyvinkin paljon, ja nämä kustannukset helposti lasketaan ajatuksellisesti mukaan sertifioinnin kustannuksiin. Työryhmän näkemyksen mukaan varsinainen sertifiointi sen sijaan ei välttämättä ole kallista, ja edellä mainittu käsitys sertifioinnin korkeista kustannuksista tai pitkästä kestosta ei siten pidä kaikissa tilanteissa paikkaansa. Työryhmän näkemyksen mukaan myöskin pienemmät toimijat voisivat näin ollen hyvin hyödyntää tietoturvaan liittyviä tuote- ja järjestelmäsertifikaatteja nykyistä laajamittaisemmin. Tuote- tai järjestelmäsertifikaatin haltijana olevan organisaation ulkopuolisiin tahoihin nähden tarvittavan luottamuksen rakentajana tuote- ja järjestelmäsertifikaateilla voisi olla luottamusta rakentava rooli, jota on vaikeaa saavuttaa muilla keinoilla. Suurin hyöty tuote- ja järjestelmäsertifikaateista todennäköisesti saadaan tilanteessa, jossa asiakkaana on toinen yritys tai organisaatio. Työryhmä katsoo, että tuote- ja järjestelmäsertifikaattien mahdollisimman laaja käyttö olisi selkeästi hyvä asia. Kuitenkin tietoturva on niin monen tekijän summa, ettei sitä voida ratkaista yksinomaan sertifioitujen tuotteiden käytöllä. Sertifikaattien hyödyntämismahdollisuudet ovat rajallisia esimerkiksi kuluttajan kohdalla, koska loppukäyttäjän osaaminen on tietoturvan toteutumisen kannalta ratkaisevaa. Tässä suhteessa mm. kuluttajat tarvitsevat enemmän yleistä tietoturvaa koskevaa tietoisuuden ja osaamisen lisäämistä. Työryhmän näkemyksen mukaan olennaista olisi lisätä yritysten, julkishallinnon ja muiden organisaatioiden tietoisuutta tuote- ja järjestelmäsertifikaateista. Tämä vaatisi kaikkien niiden tahojen aktiivista panostamista tiedottamiseen, jotka työskentelevät sertifikaatteihin liittyvissä tehtävissä. Tietoisuutta tulisi lisätä erityisesti koskien sertifikaateista saatavissa olevia hyötyjä, jotta toimijoilla olisi itse omien tuotteidensa ja järjes-

telmiensä osalta mahdollisuus arvioida, missä määrin niiden kannattaisi hyödyntää omassa toiminnassaan tuote- tai järjestelmäsertifikaatteja. Työryhmän näkemyksen mukaan tietoturvan alueella saattaisi olla tulevaisuudessa tarvetta myös jonkinlaiselle nykyistä tuotevastuuta muilla turvallisuuden alueilla koskevalle järjestelmälle, jossa asetettaisiin minimivaatimukset tuotteiden tietoturvan osalta ja lisäksi valvottaisiin näiden vaatimusten noudattamista. Valtion tietotekniikkahankintojen tarkistuslistassa (VAHTI 6/2001) on otettu kaikkia valtionhallinnon hankintoja koskevana kysymyksenä huomioon kysymys siitä, mitä sertifiointeja ja standardeja voidaan käyttää hankittavan tuotteen tai palvelun ominaisuuksien ja vaatimusten esittämiseen. Lisäksi tarkistuslistassa on nostettu esille mm. ohjelmistotuotteiden tietoturvasertifikaatit ja käyttö-, hallinta- ja tietojenkäsittelypalvelujen henkilökunnan tietoturvatutkinnot ja -sertifioinnit. Lisäksi valtionhallinnon lähiverkkojen tietoturvallisuussuosituksessa (VAHTI 2/2001) on todettu, että lähiverkkoon kytkettäviä tuotteita hankittaessa on yhtenä valintaperusteena käytettävä tuotteen tietoturvasertifiointia. Julkaisussa Valtionhallinnon keskeisten tietojärjestelmien turvaaminen (VAHTI 5/2004) on todettu ohjelmistoturvallisuuden osalta, että tietoturvaohjelmistolle hankittua tietoturvasertifiointia pidetään etuna. Myöskin työryhmän näkemyksen mukaan julkishallinnon olisi hyvä ottaa hankinnoissaan huomioon tietoturvaan liittyvät sertifikaatit yhtenä olennaisena käytännössä sovellettavana valintakriteerinä. Sertifikaatteja ei ole syytä asettaa pakolliseksi, mutta sertifioitujen tuotteiden tai palvelujen sekä sellaisten toimittajien, joiden järjestelmät on sertifioitu suosiminen voisi olla selkeä viesti yksityiselle sektorille sertifikaattien hyödyntämisen merkityksestä. 4 Henkilösertifikaatit Työryhmän käsityksen mukaan henkilösertifikaattien käyttöä haittaa selkeästi henkilösertifikaattien erittäin suuri kokonaismäärä ja niiden laadun kirjavuus. Parhaita sertifikaatteja ei välttämättä pystytä tunnistamaan ja vähemmän tunnettuihin sertifikaatteihin

ei uskalleta panostaa. Lisäksi tietämys henkilösertifikaateista on yleisesti ottaen melko vähäistä. Henkilösertifikaatteja on mahdollista hyödyntää tietoturvaa koskevan osaamisen kartuttamiseksi sekä organisaatioiden että yksittäisten työntekijöiden intressissä. Lisäksi monille muun muassa asiakasrajapinnassa työskenteleville henkilöille on tärkeää, että he pystyvät osoittamaan organisaationsa ulkopuolisille osaamisensa puolueettoman tahon arvioimana tietoturvan osalta. Tietoturvakoulutuksen lisääntyminen yliopistotasolla saattaa tosin pidemmällä aikavälillä jatkossa lisätä merkitystään tietoturvaosaamisen lisääjänä. Tuoteriippuvaisten henkilösertifikaattien hyödyllisyys ja tunnettuus riippuu paljolti siitä, minkä käyttäjien piiriin kyseiset sertifikaatit on tarkoitettu. Myös tuoteriippuvaisten sertifikaattien käyttö ja hyödyntäminen voisi työryhmän näkemyksen mukaan olla nykyistä laajamittaisempaa. Työryhmän näkemyksen mukaan henkilösertifikaattien osalta on selkeästi tarpeen lisätä tietoisuutta sekä tuoteriippumattomien että tuoteriippuvaisten sertifikaattien osalta. Tämä vaatisi kaikkien niiden tahojen aktiivista panostamista tiedottamiseen, jotka työskentelevät sertifikaatteihin liittyvissä tehtävissä. Tietoisuuden lisääminen tulisi työryhmän näkemyksen mukaan kohdistaa sekä yrityksiin että julkishallintoon. Työryhmä esittää, että sertifikaattien hyödyntäminen otettaisiin huomioon tietoturvastrategian tietoisuuden lisäämistä koskevissa hankkeissa sekä jatkossa myöskin kansallisen tietoturvapäivän yhteydessä. Julkaisussa Valtionhallinnon keskeisten tietojärjestelmien turvaaminen (VAHTI 5/2004) on todettu henkilöstöturvallisuuden osalta, että ammattisertifikaatteja suositaan. Myöskin työryhmän näkemyksen mukaan julkishallinnon olisi hyvä ottaa rekrytoinnissaan huomioon tietoturvaan liittyvät henkilösertifikaatit yhtenä valintakriteerinä. Tällä voitaisiin antaa selkeä viesti yksityiselle sektorille näiden sertifikaattien hyödyntämisen merkityksestä.

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute