Turvallisuusselvityslainsäädännön uudistus Vaikutukset kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa NSA / Tarja Laitiainen
Keskeisimmät muutokset kansainvälisten tietoturvallisuusvelvoitteiden osalta Turvallisuusselvityslainsäädännön uudistamisen yhteydessä kansainvälisistä tietoturvallisuusvelvoitteista annettua lakia (588/2004) muutettiin (kvtitul:n muutokset voimaan 1.1.2015) 11 : Henkilöturvallisuusselvitystodistus, sen voimassaolo ja peruuttaminen 12 : Yritysturvallisuusselvitystodistus, sen voimassaolo ja peruuttaminen 14 : Todistusta koskevien tietojen merkitseminen turvallisuusselvitysrekisteriin 20 a : Muutoksenhaku NSA / Tarja Laitiainen 2
Keskeisimmät muutokset kansainvälisten tietoturvallisuusvelvoitteiden osalta Kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvät todistukset keskitetään nykyistä selkeämmin NSA:han Lakiin (tursel ja kvtitul) lisättiin mm: todistuksen voimassaoloaikaa ja turvallisuusselvitysrekisteriä koskevat säännökset todistuksen peruuttamista koskevat säännökset todistuksen antamatta jättämistä ja peruuttamista koskeva muutoksenhakuoikeus NSA / Tarja Laitiainen 3
PSC-todistusten keskittäminen NSA:han NSA myöntää kaikki kansainvälisten tietoturvallisuusvelvoitteiden edellyttämät henkilöturvallisuusselvitystodistukset = Personnel Security Clearance (PSC) Certificate Esim. EU:n, Naton tai toisen valtion turvallisuusluokitellun tiedon käsittelyä varten (yleensä tasolla CONDFIDENTIAL tai korkeampi, pois lukien muutama maa) Tavoitteena yhdenmukainen todistuskäytäntö, kun todistuksia annetaan muiden maiden viranomaiselle tai kansainväliselle järjestölle NSA / Tarja Laitiainen 4
PSC-todistuksen voimassaoloaika (11 ) Turvallisuusselvitys on pääsääntöisesti voimassa 5 vuotta. Vastaavasti turvallisuusselvityksen perusteella myönnettävä PSCtodistus on voimassa 5 vuotta, ellei kysymys ole esim. määräaikaisesta tehtävästä Vastaa yleistä kansainvälistä käytäntöä voimassaoloajasta Turvallisuusselvityksen voimassaoloaikana PSC-todistus voidaan myöntää ilman uutta turvallisuusselvitystä Turvallisuusselvitystä ei pääsääntöisesti laadita, jos selvityksen kohteesta on laadittu voimassa oleva vastaava turvallisuusselvitys Turvallisuusselvitysrekisteri ja seuranta Tarkoituksena on tarpeettomien turvallisuusselvitysten laatimisen välttäminen ja todistuskäytännön yhdenmukaistaminen kansainvälisen käytännön kanssa NSA / Tarja Laitiainen 5
PSC-todistuksen peruuttaminen (11 ) NSA voi peruuttaa PSC-todistuksen, jos Henkilö ei enää työskentele niissä tehtävissä, jota varten todistus on annettu (kvtietoturvallisuusvelvoitteeseen perustuva tarve päättynyt) Henkilö on laiminlyönyt kansainvälisiä tietoturvallisuusvelvoitteita Seurannassa ilmennyt teko, joka olisi esteenä PSC-todistuksen myöntämiselle Ennen peruuttamista NSA kuulee selvityksen kohdetta sekä tarvittaessa selvityksen hakijaa tai selvityksen kohteen työnantajaa Peruuttamisesta tehdään päätös, johon on muutoksenhakuoikeus NSA / Tarja Laitiainen 6
Muutoksenhakuoikeus (20 a ) Turvallisuusselvityksen hakija (työnantaja) ja selvityksen kohde voi hakea muutosta päätökseen, jolla NSA on kieltäytynyt antamasta PSC-todistusta Jos PSC-todistus on edellytyksenä viran tai tehtävän hoitoa varten kansainvälisen tietoturvallisuusvelvoitteen mukaisesti päätökseen, jolla NSA on peruuttanut PSC-todistuksen Muutosta haetaan valittamalla korkeimpaan hallinto-oikeuteen NSA / Tarja Laitiainen 7
PSC-todistukset Kussakin organisaatiossa tulee ylläpitää listaa niistä tehtävistä, jotka edellyttävät pääsyä EU CONFIDENTIAL tai NATO CONFIDENTIAL tai sitä korkeamman tason turvallisuusluokiteltuun tietoon, ja siksi PSC:tä Henkilöllä on työtehtäviensä perusteella tiedonsaantitarve (needto-know) CONFIDENTIAL tai sitä korkeamman tason turvallisuusluokiteltuihin tietoihin Työnantaja kouluttaa/briiffaa henkilön kv. turvallisuusluokiteltujen tietojen suojaamiseen ja käsittelyyn ja henkilö perehtyy käsittelyohjeeseen ja ymmärtää vastuunsa NSA / Tarja Laitiainen 8
PSC-todistukset PSC-todistusta voidaan tarvita lisäksi Kansainväliseen kokoukseen osallistumista varten, jos kokouksessa käsitellään turvallisuusluokiteltua tietoa (tällöin PSCtarpeesta on mainita kutsussa) Vierailuluvan saamiseksi, jos vierailun aikana käsitellään turvallisuusluokiteltua tietoa (Request for Visit, RfV) Kansainvälisiin kriisinhallintaoperaatioihin osallistumiseen ja kansallisen asiantuntijan tehtäviin EU:ssa NSA / Tarja Laitiainen 9
PSC-todistuksen hakeminen Hakija (työnantaja) lähettää PSC-hakemuksen, turvallisuusselvityslomakkeen ja vakuutuslomakkeen NSA:han NSA arvioi, onko PSC-todistukselle kansainvälisen tietoturvallisuusvelvoitteen mukainen tarve NSA lähettää turvallisuusselvityslomakkeen Supoon/pääesikuntaan turvallisuusselvityksen tekemiseksi NSA / Tarja Laitiainen 10
PSC-todistuksen hakeminen Supon/PE:n tekemän turvallisuusselvityksen perusteella NSA harkitsee, voidaanko PSC-todistus myöntää KYLLÄ EI PSC-todistus + tieto turvallisuusselvitysrekisteriin Päätös, johon voi hakea muutosta NSA / Tarja Laitiainen 11
PSC/FSC-todistukset ulkomailta Suomen NSA voi pyytää ulkomaan NSA:lta PSC- ja FSC-todistusta Jos Suomen viranomaisen hankkeessa käsitellään turvallisuusluokiteltua tietoa (esim. puolustus- ja turvallisuushankinnat), ja hankkeeseen osallistuu ulkomaisia yrityksiä tai työntekijöitä Todistuksen saaminen edellyttää yleensä maiden välistä tietoturvallisuussopimusta (General Security Agreement, GSA) PSC= Personnel Security Clearance FSC= Facility Security Clearance NSA / Tarja Laitiainen 12
PSC/FSC-todistukset ulkomailta PSC/FSC tarve tulee huomioida hyvissä ajoin hankkeen suunnittelussa ja tarjouspyyntöasiakirjoissa NSA:n pyyntö ei tarkoita, että henkilö/yritys saa todistuksen ulkomailta Todistuksen hankkimiseen kuluva aika on maakohtainen NSA / Tarja Laitiainen 13
Yhteystiedot Kansallisen turvallisuusviranomaisen yhteystiedot sekä lisätietoja ja hakuohjeet löytyvät ulkoasiainministeriön verkkosivuilta (www.formin.finland.fi) osiosta palvelut Kansallisen turvallisuusviranomaisen functionalsähköpostilaatikko: NSA@formin.fi NSA / Tarja Laitiainen 14