Suosituksia teletoiminnan varautumisesta. Viestintäviraston suositus

Samankaltaiset tiedostot
Tietojärjestelmien varautuminen

Lausunto valmiuslakia koskevasta hallituksen esityksestä

Huomioita varautumisesta ja pelastustoimesta sosiaalihuollon näkökulmasta.

Kuntien valmiussuunnittelu ja alueen oppilaitokset. Valmiusmestari Vesa Lehtinen LAHTI

Tietoyhteiskuntakaaren käsitteistöä

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta

Julkisuus ja salassapito. Joensuu Riikka Ryökäs

Määräyksen 11 uudistaminen

Valtioneuvoston asetus

Varautuminen sotelainsäädännössä

Laki. kirkkolain muuttamisesta

Kuntien valmiussuunnittelu ja alueen oppilaitokset

Laki. julkisen hallinnon yhteispalvelusta annetun lain muuttamisesta

hallintopäällikkö Sirpa Salminen,

Lausunto valmiuslakia koskevasta hallituksen esityksestä

Case: Työnantaja hakee esille tai avaa työntekijän sähköpostin JASMINA HEINONEN

Palopupu ja uusi * pelastuslaki

Arkistolaitoksen ohje analogisten asiakirjojen suojaamisesta poikkeusoloissa

Ehdotus uudeksi valmiuslaiksi

Määräys viestintäverkkojen ja -palveluiden yhteentoimivuudesta

Luonnos LIITE 1

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Verkkopalvelua kaapelitelevisioverkossa tarjoava teleyritys on velvollinen siirtämään verkossa ilman korvausta:

TUTKIMUSLUPAHAKEMUS/PÄÄTÖS

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

Julkaistu Helsingissä 14 päivänä huhtikuuta /2015 Laki. rikoslain muuttamisesta. Annettu Helsingissä 10 päivänä huhtikuuta 2015

Laki kuntoutuksen asiakasyhteistyöstä

1(5) Lisätietoja toimiluvista ja hakumenettelystä on nähtävillä valtioneuvoston verkkosivuilla osoitteessa xxx.

Laki. EDUSKUNNAN VASTAUS 66/2005 vp. Hallituksen esitys laeiksi viranomaisten toiminnan julkisuudesta annetun lain sekä kuntalain 50 :n muuttamisesta

Sisällysluettelo LIIKENNEVIRASTO OHJE 2 (7) Dnro 4258/005/2011

Varmaa ja vaivatonta viestintää

Viestinnän tulevaisuus

Poikkeusolojen riskianalyysi

LIIKENNE- JA VIESTINTÄMINISTERIÖ

Toimeksisaaja suorittaa tämän sopimuksen liitteessä 1 mainittuja toimeksiantajien etäpalvelutehtäviä yhteispalvelupisteessä.

HELSINGIN KAUPUNKIKONSERNIN VARAUTUMINEN JA JATKUVUUDENHALLINTA

Varautumis- ja valmiussuunnittelman laadinta Fingridissä Pekka Niemi

Viestintäverkkojen ja - palvelujen saatavuus. Joonas Orkola Toimialatieto

Suunnitellut alueellisen varautumisen rakenteet - katsaus valmistelutilanteeseen. Vesa-Pekka Tervo

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Yhteinen varautuminen alueella

Laki. verkkoinfrastruktuurin yhteisrakentamisesta ja -käytöstä annetun lain muuttamisesta

Varautumisen ohjeistus. Veli-Pekka Kuparinen valmiuspäällikkö

Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa

Laki. sähköisen viestinnän tietosuojalain muuttamisesta

Valtuutetun on pidettävä valtuuttajalle kuuluvat raha- ja muut varat erillään omista varoistaan.

MAAKUNNAN VARAUTUMINEN JA ALUEELLISEN VARAUTUMISEN YHTEENSOVITTAMINEN

PÄÄASIALLINEN SISÄLTÖ

Riitta Manninen Jaoston tehtävistä

Lausunto poikkeusoloihin varautumista rahoitusalalla koskevan lainsäädännön tarkistamisesta laaditusta työryhmämuistiosta

Hallituksen esitys Eduskunnalle laiksi rikoslain muuttamisesta ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Anne Ilkka. hallitusneuvos

VALTIOVARAINMINISTERIÖ MÄÄRÄYS Henkilöstö- ja hallintopolitiikkaosasto OHJE VM/1007/ /2012 Valtion työmarkkinalaitos

Tietoaineistojen luokittelu ja käsittely HVK:ssa ja PTS:ssä

Kantelija on antanut valtioneuvoston kanslian selvityksen johdosta vastineen

Valvonta ja pakkokeinot. Turun alueen rakennustarkastajat ry:n koulutus / Hallintojohtaja Harri Lehtinen / Turun kristillinen opisto 5.9.

VALTIONEUVOSTON OHJESÄÄNNÖN 3 :N UUSI 22 KOHTA SEKÄ 12 :N 7 KOHDAN JA 26 :N 1 MOMENTIN MUUTTAMINEN

Viestintävirasto 1 (5) Viestintämarkkinat ja palvelut

Valmiusharjoituksesta hyödyt irti Häme17 - Sysmä. Taneli Rasmus

Ajankohtaista määräyksistä ja lainsäädännöstä. Jarkko Saarimäki Kehityspäällikkö

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

HE 27/2006 vp. Ehdotetuin säännöksin pantaisiin täytäntöön

Tilastolain muutoksen vaikutukset aineistojen tutkimuskäyttöön. Seminaari

Abuse-seminaari

ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

YMPÄRISTÖTERVEYDENHUOLLON VARAUTUMINEN JA VALMIUSSUUNNITTELU

Turvallisuus- ja valmiussuunnittelu

EDUSKUNNAN VASTAUS 95/2004 vp. Hallituksen esitys Euroopan Avaruusjärjestöä koskevan yleissopimuksen sopimuspuolten ja

VARAUTUMISSEMINAARI VARAUTUMINEN ALUEHALLINNON UUDISTUKSESSA

Tiedottaminen hätäliikenteen häiriöistä Viestintäviraston suosituksia

Helsingin valmiussuunnitelma

Tätä lakia sovelletaan sekä viranomaisen että yksityisen järjestämään sosiaalihuoltoon, jollei tässä tai muussa laissa toisin säädetä.

LIIKENNE- JA VIESTINTÄMINISTERIÖ Muistio Liite 1 Viestintäneuvos Kaisa Laitinen

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

SISÄLLYS. N:o 743. Laki. rikoslain 1 ja 20 luvun muuttamisesta. Annettu Helsingissä 25 päivänä elokuuta 2006

Laki. EDUSKUNNAN VASTAUS 129/2013 vp. Hallituksen esitys eduskunnalle laeiksi puutavaran. puutavaran ja puutuotteiden markkinoille saattamisesta

1994 ~ - HE 113 ESITYKSEN PÄÄASIALLINEN SISÄLTÖ YLEISPERUSTELUT

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Laki rikoslain muuttamisesta

HE 87/2000 vp ESITYKSEN PÄÄASIALLINEN SISÄLTÖ

Salassapito- ja tietosuojakysymykset moniammatillisessa yhteistyössä Kalle Tervo. Keskeiset lait

Luonnos - VAHTI-ohje 2/2016 Toiminnan jatkuvuuden hallinta. 1 Ohjeen soveltamisala, tavoitteet ja rajaukset. 2 Jatkuvuuden hallinnan säädösympäristö

LAPIN YLIOPISTO 1(5) Yhteiskuntatieteiden tiedekunta vastaajan nimi

Viestintäviraston häiriötilanteiden yhteistoimintaryhmän. Viestintäviraston ohje 207/2014 O

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

Sosiaali- ja terveydenhuolto osana häiriötilanteisiin ja poikkeusoloihin varautumista

Jatkuvuudenhallinta ja varautuminen kunnassa - yleisiä perusteita ja lähtökohtia -

Viestintävirasto 1 (5) Viestintämarkkinat ja palvelut

Julkaistu Helsingissä 15 päivänä kesäkuuta /2011 Laki. julkisen hallinnon tietohallinnon ohjauksesta

Määräys teleliikenteen estoluokista

Savonlinnan kaupungin valmiustoiminta Kaupunginjohtaja Janne Laine

1. Perusvalmius on valmiustila, jossa toimitaan normaaliaikana.

Viranomaistoiminta normaali- ja poikkeusoloissa. Suomen Pelastusalan Keskusjärjestö

Laki. EDUSKUNNAN VASTAUS 52/2010 vp. Hallituksen esitys laeiksi oikeudenkäymiskaaren ja oikeudenkäynnistä rikosasioissa annetun lain muuttamisesta

HE 305/2010 vp. Hallituksen esitys Eduskunnalle laeiksi sosiaaliturvan muutoksenhakulautakunnasta annetun lain 17 :n ja vakuutusoikeuslain

Määräys VIESTINTÄVERKON RAKENTEESTA, LIITYNTÄPISTEISTÄ, HF (HUMAN FACTORS)-NÄKÖKOHDISTA, TÄRKEYSLUOKITTELUSTA JA VARMISTAMISESTA.

Laki. EDUSKUNNAN VASTAUS 194/2013 vp

1. Nykytila. julkisuutta koskevalla lailla. Laki on tarkoitettu tulemaan voimaan samanaikaisesti. kuin laki viranomaisten toiminnan

Varmaa ja vaivatonta

Transkriptio:

Suositus Suosituksia teletoiminnan varautumisesta n suositus

Suositus 1 (32) Sisältö 1 Johdanto... 2 1.1 Tausta ja soveltamisala... 2 1.2 Julkisuus... 3 2 Määritelmät ja käsitteet... 4 3 Suositukset teleyrityksille... 7 4 Urakoitsijoihin vaikuttavat suositukset... 21 5 Aiheeseen liittyvä säädäntö... 26 5.1 Tietoyhteiskuntakaari... 26 5.2 Valmiuslaki... 27 5.3 Julkisuuslaki... 30 5.4 Rikoslaki... 31

Suositus 2 (32) 1 Johdanto 1.1 Tausta ja soveltamisala Kaikki teleyritykset ovat velvollisia huolehtimaan siitä, että niiden toiminta jatkuu mahdollisimman häiriöttömästi myös normaaliolojen häiriötilanteissa sekä valmiuslaissa tarkoitetuissa poikkeusoloissa (ks. aiheeseen liittyvä säädäntö, luku 5). on valtuutettu antamaan tätä niin kutsuttua varautumisvelvollisuutta koskevia tarkempia määräyksiä. Toimialan varautumiskäytännöistä kerättyjen kokemusten perusteella virasto on toistaiseksi arvioinut, että määräystä aiheesta ei ole tarvetta antaa. Varautumisessa on kuitenkin tunnistettu asiakokonaisuuksia, joihin virasto haluaa tällä, isoimpien teleyritysten kanssa yhteistyössä valmistellulla suosituksella kiinnittää varautumisvelvollisten huomiota. Suositus ei sido teleyrityksiä, mutta antaa neuvoja lain varautumisvelvoitteiden täyttämiseen. Koska teleyritysten varautumisen nykykäytännöt perustuvat jo osaltaan n asiaa sivuaviin määräyksiin, kuten määräykseen teletoiminnan varmistamisesta (määräys 54) ja määräykseen tietoturvasta (määräys 67), sekä yleisesti hyväksyttyihin standardeihin (esim. ISO/IEC 27000 -sarja, ISO/IEC 22301,NIST SP 800-34 ja VAHTI-ohjeet) ja käytänteisiin yritystoiminnan jatkuvuuden varmistamisesta, tämä suositus ei ole yleinen, kaiken kattava varautumis-, jatkuvuus- tai valmiussuunnittelua ja niiden toteuttamista koskeva ohje, vaan kuten edelläkin on jo todettu, siinä on nostettu esiin asiakokonaisuuksia, joita suosittelee ottamaan huomioon osana varautumisvelvollisuutta. Suositus on valmisteltu perusluontoisten viestintäpalvelujen toimivuuden ja nimenomaisesti valtakunnallisen varautumisen näkökannalta. Perusluontoisiksi viestintäpalveluiksi tässä yhteydessä katsotaan yleiset puhelinpalvelut, lyhytsanomapalvelut (SMS ja MMS), internetyhteyspalvelut, televisiopalveluista Yleisradio Oy:n 1 ohjelmistojen välittäminen eri verkoissa (niin DVB- T, DVB-T2, DVB-C kuin IPTV-verkoissa) sekä radiopalveluista poikkeusolojen ja kriisiviestinnän kannalta erikseen sopimuksissa määritellyt valtakunnalliset radiopalvelut. Käytännössä suositus on siis tarkoitettu valtakunnallisia: 1 Suositusta valmistellessa tarkoituksena oli ulottaa suositukset myös yleisen edun televisioohjelmistojen välittämiseen, mutta Valtioneuvoston ja n toimilupakaudelle 17.5.2017-10.1.2027 myöntämiin television ohjelmistotoimilupiin (UHF ja VHF-alueet) ei tullut yhtään hakemusta yleisen edun televisio-ohjelmistoiksi, joten tällaisia ei 17.5.2017 lähtien ainakaan toistaiseksi enää ole.

Suositus 3 (32) matkaviestinverkkoja, runkoverkkoja, ja joukkoviestintäverkkoja tarjoaville teleyrityksille. Varautumistoimenpiteiden toteuttamisessa teleyritysten käyttämillä alihankkijoilla, kuten kenttätöitä tekevillä urakoitsijoilla, laitevalmistajilla ja muilla ulkoisilla resursseilla on merkittävä osuus, sillä ne osallistuvat oleellisesti edellä mainittujen verkkojen toteutukseen ja ylläpitoon. Vaikka säädännön vaatimukset kohdistuvat ja niiden noudattamisesta vastaavat nimenomaisesti teleyritykset (myös alihankinnan osalta) tätä suositusta valmistellessa todettiin, että käytännön yhteistyön helpottamiseksi suositukseen on tarkoituksenmukaista valmistella, siltä osin kuin suosituksia annetaan teleyrityksille myös suoria suosituksia keskeisille, kenttätöitä tekeville urakoitsijoille, jotta teleyritykset voivat helposti viitata niihin esim. urakointisopimuksia tehdessään. 1.2 Julkisuus Jäljempänä luvuissa 3 ja 4 annetut suositukset käsittelevät varautumisasioita, joihin on katsonut tarpeelliseksi kiinnittää teleyritysten ja niiden käyttämien urakoitsijoiden erityistä huomiota jo olemassa olevien varautumiskäytäntöjen lisäksi. Ne kuvaavat teleyritysten tieto- ja viestintäjärjestelmien turvajärjestelyjä ja niiden toteuttamista sekä poikkeusoloihin varautumista. Suositusten julkisuus vaarantaisi n arvion mukaan turvajärjestelyjen tarkoituksen toteutumista sekä poikkeusoloihin varautumista ja näin ollen suositukset ovat viranomaisten toiminnan julkisuudesta annetun lain (ks. luku 5) nojalla salassa pidettäviä. luovuttaa suosituksen edellä mainitut kohdat eli niin luvun 3 kuin 4 sisällön kokonaisuudessaan vain tietoyhteiskuntakaaren 3.1 :n 27 kohdan tarkoittamalle teleyritykselle, jonka toimintaa suositukset tosiasiassa koskisivat (ks. soveltamisala luku 1.1). luovuttaa edellä mainittujen teleyritysten käyttämille keskeisille, kenttätöitä tekeville urakoitsijoille, joilla on merkittävä rooli tämän suosituksen soveltamisalan (ks. luku 1.1) verkkojen toteutuksessa ja ylläpidossa, vain suosituksen luvun 4. Teleyritys ja urakoitsija, jolle suositukset luovutetaan, on julkisuuslain 22 :n nojalla velvollinen pitämään suositukset salassa. Suosituksia koskee julkisuuslain 23 :ssä säädetty vaitiolovelvollisuus. Rangaistavuus 22 :ssä säädetyn asiakirjan

Suositus 4 (32) 2 Määritelmät ja käsitteet salassa pitämistä koskevan velvollisuuden sekä 23 :ssä säädetyn vaitiolovelvollisuuden ja hyväksikäyttökiellon rikkomisesta on säädetty rikoslaissa (39/1889), johon viitataan julkisuuslain 35 :ssä. Tässä suosituksessa käytetään tietoyhteiskuntakaaren 2 määritelmiä. Suosituksessa tarkoitetaan: teleyrityksellä sitä, joka tarjoaa verkkopalvelua tai viestintäpalvelua ennalta rajaamattomalle käyttäjäpiirille eli harjoittaa yleistä teletoimintaa. verkkopalvelulla palvelua, jossa teleyritys (verkkoyritys) tarjoaa omistamaansa tai muulla perusteella hallussaan olevaa viestintäverkkoa käytettäväksi viestien siirtoon tai jakeluun. viestintäverkolla toisiinsa liitetyistä johtimista sekä laitteista muodostuvaa järjestelmää, joka on tarkoitettu viestien siirtoon tai jakeluun johtimella, radioaalloilla, optisesti tai muulla sähkömagneettisella tavalla. yleisellä viestintäverkolla viestintäverkkoa, jota käytetään viestintäpalvelujen tarjontaan ennalta rajaamattomalle käyttäjäpiirille. joukkoviestintäverkolla viestintäverkkoa, jota käytetään pääasiassa televisio- ja radio-ohjelmistojen tai muun kaikille vastaanottajille samanlaisena välitettävän aineiston siirtämiseen tai lähettämiseen. viestintäpalvelulla palvelua, joka muodostuu kokonaan tai pääosin viestien siirtämisestä viestintäverkossa sekä siirtoja lähetyspalvelua joukkoviestintäverkossa. internetyhteyspalvelulla viestintäpalvelua, jonka avulla voidaan muodostaa yhteys internetiin siellä tarjolla olevien palvelujen käyttämiseksi. yleisellä puhelinpalvelulla viestintäpalvelua, jonka avulla voidaan soittaa ja vastaanottaa kotimaan- ja ulkomaanpuheluja kansallisessa tai kansainvälisessä numerointisuunnitelmassa olevan numeron avulla. Lisäksi tässä suosituksessa tarkoitetaan: urakoitsijalla teleyritykselle korvauksesta kenttätöitä, kuten asennuksia ja viankorjauksia, tekevää alihankkijaa. Tietoyhteiskuntakaaressa ei varsinaisesti ole määritelty termiä varautuminen, mutta lain perusteluissa 3 on todettu varautumis- 2 http://www.finlex.fi/fi/laki/ajantasa/2014/20140917

Suositus 5 (32) velvollisuudella tarkoitettavan sitä, että yritys huolehtii suunnittelulla, etukäteisvalmisteluin ja toimenpiteillä siitä, että sen toiminta jatkuu häiriöttömästi. Lain perustelujen mukaan varautumisvelvollisuus muodostuu sekä riskiarviointiin perustuvasta suunnittelusta, että toimenpiteistä, jotka toteutetaan riskin realisoituessa. Tietoyhteiskuntakaaren varautumisvelvoitteiden tarkoituksena onkin lain perustelujen mukaan varmistaa, että varautumisvelvollinen (tämän suosituksen kannalta nimenomaisesti teleyritys) tekee kaikki tarvittavat toimenpiteet, jotta sen toiminta jatkuu häiriöttömästi normaaliolojen häiriötilanteissa ja poikkeusoloissa. Laissa ei ole myöskään määritelty tarkasti normaalioloja tai normaaliolojen häiriötilanteita. Valmiuslain 4, johon tietoyhteiskuntakaaressakin viitataan, mukaisia poikkeusoloja ovat: 1) Suomeen kohdistuva aseellinen tai siihen vakavuudeltaan rinnastettava hyökkäys ja sen välitön jälkitila; 2) Suomeen kohdistuva huomattava aseellisen tai siihen vakavuudeltaan rinnastettavan hyökkäyksen uhka, jonka vaikutusten torjuminen vaatii tämän lain mukaisten toimivaltuuksien välitöntä käyttöön ottamista; 3) väestön toimeentuloon tai maan talouselämän perusteisiin kohdistuva erityisen vakava tapahtuma tai uhka, jonka seurauksena yhteiskunnan toimivuudelle välttämättömät toiminnot olennaisesti vaarantuvat; 4) erityisen vakava suuronnettomuus ja sen välitön jälkitila; sekä 5) vaikutuksiltaan erityisen vakavaa suuronnettomuutta vastaava hyvin laajalle levinnyt vaarallinen tartuntatauti. Valtioneuvosto, yhteistoiminnassa tasavallan presidentin kanssa, toteaa maassa vallitsevan poikkeusolot. Tässä suosituksessa tarkoitetaankin: poikkeusoloilla valmiuslaissa määriteltyjä olosuhteita. Valtiovarainministeriö on julkaissut VAHTI 2/2016 ohjeen toiminnan jatkuvuuden hallinnasta 5. Tässä ohjeessa, vaikka se onkin tarkoitettu ensisijaisesti valtionhallinnon toimijoiden jatkuvuuden hallintaan, hyvin yhtenevästi tietoyhteiskuntakaaren perustelujen kanssa todetaan varautumisella tarkoitettavan toimintaa, jolla varmistetaan tehtävien mahdollisimman häiriö- 3 HE 221/2013: https://www.eduskunta.fi/fi/vaski/sivut/trip.aspx?triptype=valtiopaivaasiat&docid=he+221/20 13 4 http://www.finlex.fi/fi/laki/ajantasa/2011/20111552 5 https://www.vahtiohje.fi/web/guest/vahti-2/2016

Suositus 6 (32) tön hoitaminen kaikissa tilanteissa. Mainitun VAHTI-ohjeen mukaan varautumistoimenpiteitä ovat esimerkiksi riskien arviointi, jatkuvuus- ja valmiussuunnittelu, tekniset ja rakenteelliset etukäteisvalmistelut, koulutus, harjoitukset sekä tilojen ja kriittisten resurssien varaukset. Varautuminen jakaantuu suunnitteluun, sen edellyttämiin käytännön valmistelutoimenpiteisiin, näiden toteuttamiseen ja kehittämiseen sekä harjoitteluun. Erilaisten varautumiseen liittyvien termien ja määritelmien suhdetta toisiinsa on kuvattu alla, kuvassa 1. Kuva 1. Varautumiseen liittyvän termien ja määritelmien suhde toisiinsa 6. Edellisten perusteella tässä suosituksessa tarkoitetaan: varautumisella toimintaa, jolla varmistetaan etukäteisvalmisteluin ja -toimenpitein tehtävien mahdollisimman häiriötön hoitaminen kaikissa olosuhteissa. varautumissuunnittelulla prosessia, jolla suunnitelmallisesti tunnistetaan teleyrityksen ydintoimintaan kohdistuvat varautumistarpeet ja -toimenpiteet. jatkuvuussuunnittelulla jatkuvuuden hallinnan (business continuity management, BCM) prosessia, joka on osa varautumissuunnittelua. Jatkuvuussuunnittelulla tunnistetaan toimintaan kohdistuvat uhat ja toteutetaan riskien realisoitumista hallitsevia toimenpiteitä, millä pyritään pienentämään ja lyhentämään toimintaa haittaavien tapahtumien vaikutusta ja kestoa. Jatkuvuuden hallinnan ja siten jatkuvuussuunnittelun painopiste on normaaliolojen häiriöissä, 6 Lähde: Jatkuvuussuunnittelu ja ICT-varautuminen, Iivari & Laaksonen 2009

Suositus 7 (32) 3 Suositukset teleyrityksille mutta prosessiin voi sisältyä myös poikkeusoloihin varautumista. Jatkuvuuden hallinta on organisaation ylimmän johdon hyväksymää strategista ja operatiivista toimintaa, jolla organisaatio varautuu hallitsemaan häiriötilanteet ja jatkamaan toimintaa ennalta määritellyllä hyväksyttävällä tasolla. jatkuvuussuunnitelmalla (business continuity plan, BCP) suunnitelmia, joissa kuvataan johtaminen, vastuut ja toimenpiteet, joiden mukaan toimintaa voidaan jatkaa häiriötilanteissa. Jatkuvuussuunnitelma voi sisältää esimerkiksi tiedot organisaation häiriötilanteen aikaisista avainhenkilöistä, resursseista ja palveluista sekä tilanteessa tehtävistä toimenpiteistä. valmiussuunnittelulla varautumissuunnittelun osa-aluetta eli prosessia, jolla normaalioloissa varaudutaan poikkeusoloihin. Valmiussuunnittelun tarkoitus on varmistaa kaikista kriittisimpien toimintojen jatkuminen häiriötilanteissa, erityisesti poikkeusoloissa, siten, että ihmisten elinmahdollisuudet, yhteiskunnan toimintakyky ja kansallinen itsenäisyys turvataan. valmiussuunnitelmalla suunnitelmia, joissa kuvataan johtaminen, vastuut ja toimenpiteet, joiden mukaan toimintaa voidaan jatkaa poikkeusoloissa. toipumissuunnitelmalla (disaster recovery plan, DRP) jatkuvuus- ja valmiussuunnittelun osana syntyviä suunnitelmia, joissa kuvataan varautumisen piirissä olevat tietojärjestelmät ja käytännön toimenpiteet, roolit ja vastuut, joilla varautumissuunnitelmien käyttöönottoa vaativissa tilanteissa järjestelmät palautetaan normaalitilaan. Toipumissuunnitelmat siis kuvaavat operatiivisella tasolla ja konkreettisesti tietoteknisten järjestelmien palauttamisen häiriötilanteista. Ne sisältävät ohjeet vakavasta häiriöstä toipumiseen, normaaliin toimintaan paluusta ja toiminnan jatkamisesta. Tässä luvussa käsitellään kokonaisuutena teleyritykseen kohdistuvia varautumissuosituksia. Useiden suositusten toteuttamisessa on asioita, jotka vaikuttavat myös teleyrityksen käyttämiin, kenttätöitä tekeviin alihankkijoihin. Suositusten käytettävyyden vuoksi, nimenomaisesti kenttätöitä tekevään urakoitsijatoimintaan liittyvät suositukset on myös erikseen luvussa 4. Huomionarvoista on, että vaikka suositukset on eriytetty näin, teleyritykset ovat myös alihankinnan osalta vastuullisia velvoittavan säädännön noudattamisesta.

Suositus 8 (32) [ ] 13 sivua [ ]

Suositus 21 (32) 4 Urakoitsijoihin vaikuttavat suositukset Tähän lukuun on suositusten käytettävyyden vuoksi erotettu edellisestä luvusta ne suositukset, joiden toteuttaminen teleyrityksissä vaikuttaa myös teleyrityksen käyttämiin keskeisiin, kenttätöitä tekeviin urakoitsijoihin. Huomionarvoista on, että vaikka suositukset on eriytetty näin, teleyritykset ovat myös alihankinnan osalta vastuullisia velvoittavan säädännön noudattamisesta. [ ] 5 sivua [ ]

Suositus 26 (32) [ ] 5 Aiheeseen liittyvä säädäntö 5.1 Tietoyhteiskuntakaari Tietoyhteiskuntakaaren (917/2014 7 ) 243 :ssä säädetään viestintäverkon ja -palvelun laatuvaatimuksista. Lain 243.1 :n mukaan yleiset viestintäverkot ja -palvelut sekä niihin liitettävät viestintäverkot ja -palvelut on suunniteltava, rakennettava ja ylläpidettävä mm. siten, että ne toimivat mahdollisimman luotettavasti myös valmiuslaissa (1552/2011) tarkoitetuissa poikkeusoloissa ja normaaliolojen häiriötilanteissa. Lain 35 luvussa säädetään varautumisesta: 281 :ssä velvollisuudesta varautua normaaliolojen häiriötilanteisiin ja poikkeusoloihin, 282 :ssä varautumissuunnittelusta ja 283 :ssä kriittisen viestintäjärjestelmän sijainnista. Lain 284 :ssä taas käsitellään varautumista koskevia n määräystoimivaltuuksia. Lain 281.1 :n mukaan teleyrityksen on huolehdittava siitä, että sen toiminta jatkuu mahdollisimman häiriöttömästi myös normaaliolojen häiriötilanteissa sekä valmiuslaissa tarkoitetuissa poikkeusoloissa. Lain 282.1 :ssä edellytetään, että teleyritys arvioi riskit, jotka voivat vaarantaa toiminnan jatkuvuuden, ja sen perusteella suunnittelee, miten sen toiminta jatkuu normaaliolojen häiriötilanteissa ja valmiuslain 9 luvun mukaisia toimivaltuuksia käytettäessä. Lain 282.2 :n mukaan varautumisvelvollisen on n pyynnöstä toimitettava varautumissuunnitteluaan koskevat tiedot lle. Toimitettuja tietoja koskevista muutoksista on ilmoitettava viipymättä lle. Lain 282.3 :n mukaan varautumisvelvollisen on n pyynnöstä yksittäistapauksissa ilmoitettava, miten se varautuu yksittäiseen häiriötilanteeseen tai sellaisen uhkaan ja mihin varautumissuunnittelunsa mukaisiin toimiin se on tilanteen johdosta ryhtynyt tai aikoo ryhtyä. 7 http://www.finlex.fi/fi/laki/ajantasa/2014/20140917

Suositus 27 (32) Lain 283 :ssä edellytetään teleyrityksen huolehtivan siitä, että sen tarjoaman viestintäpalvelun toimivuuden turvaamiseksi kriittinen viestintäjärjestelmä sekä sen ohjaus, ylläpito ja hallinta voidaan valmiuslain 60 :n 1 momentin 8 kohdan mukaista toimivaltuutta käytettäessä viipymättä palauttaa Suomeen ja että sen tarjoamaa palvelua tai järjestelmää voidaan ylläpitää mainitun pykälän 1 momentin mukaisessa menettelyssä määritellystä paikasta. Velvollisuus ei koske merkitykseltään vähäisiä viestintäpalveluja. Lain 284 :n nojalla voi antaa varautumisvelvollisuutta koskevia tarkempia määräyksiä. Määräykset voivat koskea: 1) 282 :ssä tarkoitettuun varautumissuunnitteluun liittyviä asiakirjoja ja niiden tarkempaa sisältöä; 2) teknisiä toimenpiteitä tietoturvaloukkausten vahingollisten vaikutusten minimoimiseksi; 3) 283 :ssä tarkoitetun velvoitteen teknistä toteuttamista; 4) taajuuksien käyttöä; 5) muita 1 4 kohdassa tarkoitettuihin verrattavia teknisiä kysymyksiä. 5.2 Valmiuslaki Valmiuslain (1552/2011 8 ) määritellään poikkeusolot ja säädetään viranomaisten toimivaltuuksista tällaisten olojen aikana. Lain 3.1 :n mukaan poikkeusoloja tämän lain mukaan ovat: 1) Suomeen kohdistuva aseellinen tai siihen vakavuudeltaan rinnastettava hyökkäys ja sen välitön jälkitila; 2) Suomeen kohdistuva huomattava aseellisen tai siihen vakavuudeltaan rinnastettavan hyökkäyksen uhka, jonka vaikutusten torjuminen vaatii tämän lain mukaisten toimivaltuuksien välitöntä käyttöön ottamista; 3) väestön toimeentuloon tai maan talouselämän perusteisiin kohdistuva erityisen vakava tapahtuma tai uhka, jonka seurauksena yhteiskunnan toimivuudelle välttämättömät toiminnot olennaisesti vaarantuvat; 4) erityisen vakava suuronnettomuus ja sen välitön jälkitila; sekä 5) vaikutuksiltaan erityisen vakavaa suuronnettomuutta vastaava hyvin laajalle levinnyt vaarallinen tartuntatauti. Lain 6.1 :n mukaan, jos valtioneuvosto, yhteistoiminnassa tasavallan presidentin kanssa, toteaa maassa vallitsevan poikke- 8 http://www.finlex.fi/fi/laki/ajantasa/2011/20111552

Suositus 28 (32) usolot, voidaan valtioneuvoston asetuksella (käyttöönottoasetus) säätää lain II osan säännösten soveltamisen aloittamisesta. Mainitun II osan (Toimivaltuudet poikkeusoloissa) 9 luvussa käsitellään sähköisten tieto- ja viestintäjärjestelmien toimivuuden sekä postipalveluiden saatavuuden turvaamista. Lain 60.1 :n mukaan sähköisten tieto- ja viestintäjärjestelmien toimivuuden turvaamiseksi ja niihin kohdistuvien tietoturvauhkien torjumiseksi liikenne- ja viestintäministeriö voi 3 :n 1 3 kohdassa tarkoitetuissa poikkeusoloissa päätöksellään velvoittaa viestintämarkkinalaissa (393/2003) 9 tarkoitetun teleyrityksen: 1) tuottamaan verkko- ja viestintäpalveluja sekä antamaan viranomaiselle verkko- ja viestintäpalveluiden käyttöä koskevan tilannekuvan; 2) pitämään kunnossa tai rakentamaan taikka jättämään rakentamatta viestintäverkkoja; 3) luovuttamaan viranomaiselle tai toiselle teleyritykselle käyttöoikeuden viestintämarkkinalain 10 4 luvussa tarkoitettuun omaisuuteen; ministeriö voi myös päätöksellään kumota teleyritykselle viestintämarkkinalain nojalla asetetun käyttöoikeuden luovutusvelvollisuuden; 4) järjestämään kansainväliset verkko- ja viestintäpalveluyhteytensä liikenne- ja viestintäministeriön yksilöimällä tavalla; 5) sopimaan kansallisista tai kansainvälisistä verkkovierailuista liikenne- ja viestintäministeriön osoittamalla tavalla; 6) liittämään viestintäverkon yhteen toisen viestintäverkon kanssa tai purkamaan yhteenliittämisen; 7) katkaisemaan määräajaksi tai toistaiseksi verkko- tai viestintäpalveluyhteydet tiettyyn maahan tai kansainvälisiin verkko- ja viestintäpalveluihin; 8) ylläpitämään järjestelmiä ja palveluita tietyistä paikoista. Lain 60.2 :n mukaan liikenne- ja viestintäministeriö voi poikkeusoloissa lisäksi päättää yhteiskunnan elintärkeiden toimintojen kannalta välttämättömän viestinnän etuoikeudesta yleisissä viestintäverkoissa. Päätös voi kohdistua vain sellaiseen viestintäverkkoon, jossa viestinnän etuoikeus on teknisesti mahdollista toteuttaa. Lain 62 :n mukaan sähköisten tieto- ja viestintäjärjestelmien toimivuuden turvaamiseksi ja niihin kohdistuvien tietoturvauh- 9 Viestintämarkkinalaki on kumottu Tietoyhteiskuntakaarella 10 Viestintämarkkinalaki on kumottu Tietoyhteiskuntakaarella

Suositus 29 (32) kien torjumiseksi liikenne- ja viestintäministeriö voi 3 :n 1 3 kohdassa tarkoitetuissa poikkeusoloissa päätöksellään velvoittaa sähköisen viestinnän tietosuojalaissa (516/2004) 11 tarkoitetun teleyrityksen, lisäarvopalvelun tarjoajan tai muun kuin valtionhallinnon yhteisötilaajan taikka näiden lukuun toimivan henkilön: 1) estämään tilapäisesti sähköpostiviestien, tekstiviestien ja muiden vastaavien viestien tai vertaisverkkoliikenteen lähettämisen, välittämisen tai vastaanottamisen; 2) salaamaan tai olemaan salaamatta verkko- ja viestintäpalvelunsa; 3) ryhtymään muihin vastaaviin välttämättömiin toimiin tietoturvaloukkausten torjumiseksi ja tietoturvaan kohdistuvien häiriöiden poistamiseksi. Lain 63 :n mukaan sähköisten tieto- ja viestintäjärjestelmien toimivuuden turvaamiseksi liikenne- ja viestintäministeriö voi 3 :n 1 3 kohdassa tarkoitetuissa poikkeusoloissa päätöksellään velvoittaa yksityisen henkilön tai muun kuin valtionhallintoon kuuluvan yhteisön luovuttamaan viranomaiselle tai viranomaisen nimeämälle taholle käyttöoikeuden ohjelmistoon, päätelaitteeseen, tietojärjestelmään, radiolähettimeen, varavoimalaitteeseen taikka näiden osiin tai lisävarusteisiin, jos luovutus on välttämätön yhteiskunnan elintärkeiden toimintojen ylläpidossa käytettävien verkko- ja viestintäpalveluiden toiminnan turvaamiseksi. Lain 65 :n nojalla voi poikkeusoloissa antaa 60 64 :ssä tarkoitettujen oikeuksien ja velvollisuuksien teknistä toteuttamista koskevia määräyksiä. Lain 123 :ssä taas valtuutetaan valtioneuvosto antamaan yhteensovittavia säännöksiä tämän lain tarkoituksen toteuttamiseksi tarvittavien toimenpiteiden ensisijaisuus-, kiireellisyys- ja muusta tärkeysmäärittelystä. Lain esitöissä (HE 3/2008) todetaan esimerkiksi tiedonsiirron turvaamisen edellyttävän yhtenäisiä ohjausperiaatteita ja näin ollen valtioneuvostolla on mahdollisuus tarvittaessa koordinoida eri viranomaisten noudattamia ensisijaisuus-, kiireellisyys- ja muita tärkeysmäärittelyjä. 11 Sähköisen viestinnän tietosuojalaki on kumottu Tietoyhteiskuntakaarella

Suositus 30 (32) 5.3 Julkisuuslaki Viranomaisten toiminnan julkisuudesta annetun lain (621/1999 12 ) 1.1 :n mukaan viranomaisten asiakirjat ovat julkisia, jollei tässä tai muussa laissa erikseen toisin säädetä. Lain 24.1 :n mukaan salassa pidettäviä viranomaisen asiakirjoja, jollei erikseen toisin säädetä, muun muassa ovat: henkilöiden, rakennusten, laitosten, rakennelmien sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista, ja asiakirjat, jotka koskevat onnettomuuksiin tai poikkeusoloihin varautumista, väestönsuojelua taikka turvallisuustutkintalain (525/2011) mukaista tutkintaa, jos tiedon antaminen niistä vahingoittaisi tai vaarantaisi turvallisuutta tai sen kehittämistä, väestönsuojelun toteuttamista tai poikkeusoloihin varautumista, vaarantaisi turvallisuustutkinnan tai sen tarkoituksen toteutumisen, vaarantaisi tiedon saantia tutkintaa varten taikka loukkaisi onnettomuuden, vaaratilanteen tai poikkeuksellisen tapahtuman uhrien oikeuksia tai heidän muistoaan tai läheisiään. Lain 22.1 :n mukaan viranomaisen asiakirja on pidettävä salassa, jos se tässä tai muussa laissa on säädetty salassa pidettäväksi tai jos viranomainen lain nojalla on määrännyt sen salassa pidettäväksi taikka jos se sisältää tietoja, joista on lailla säädetty vaitiolovelvollisuus. Lain 22.2 :n mukaan salassa pidettävää viranomaisen asiakirjaa tai sen kopiota tai tulostetta siitä ei saa näyttää eikä luovuttaa sivulliselle eikä antaa sitä teknisen käyttöyhteyden avulla tai muulla tavalla sivullisen nähtäväksi tai käytettäväksi. Lain 23.1 :n mukaan viranomaisen palveluksessa oleva samoin kuin luottamustehtävää hoitava ei saa paljastaa asiakirjan salassa pidettävää sisältöä tai tietoa, joka asiakirjaan merkittynä olisi salassa pidettävä, eikä muutakaan viranomaisessa toimiessaan tietoonsa saamaa seikkaa, josta lailla on säädetty vaitiolovelvollisuus. Vaitiolovelvollisuuden piiriin kuuluvaa tietoa ei saa paljastaa senkään jälkeen, kun toiminta viranomaisessa tai tehtävän hoitaminen viranomaisen lukuun on päättynyt. 12 http://www.finlex.fi/fi/laki/ajantasa/1999/19990621

Suositus 31 (32) Lain 23.2 :n mukaan mitä 1 momentissa säädetään, koskee myös sitä, joka -- on saanut salassa pidettäviä tietoja lain tai lain perusteella annetun luvan nojalla, jollei laista tai sen perusteella annetusta luvasta muuta johdu. Vaitiolovelvollisuus on myös sillä, jolle viranomainen on ilmoittanut julkisuus- tai salassapito-olettaman sisältävän salassapitosäännöksen osoittamissa rajoissa tietoja, jotka ovat yleisöltä salassa pidettäviä. Asianosainen, hänen edustajansa tai avustajansa ei saa ilmaista sivullisille asianosaisaseman perusteella saatuja salassa pidettäviä tietoja, jotka koskevat muita kuin asianosaista itseään. Lain 23.3 :n mukaan edellä 1 tai 2 momentissa tarkoitettu henkilö ei saa käyttää salassa pidettäviä tietoja omaksi taikka toisen hyödyksi tai toisen vahingoksi. Asianosainen, hänen edustajansa tai avustajansa saa kuitenkin käyttää muita kuin asianosaista itseään koskevia tietoja, kun kysymys on sen oikeuden, edun tai velvollisuuden hoitamista koskevasta asiasta, johon asianosaisen tiedonsaantioikeus on perustunut. Lain 35 :n mukaan rangaistus 22 :ssä säädetyn asiakirjan salassa pitämistä koskevan velvollisuuden sekä 23 :ssä säädetyn vaitiolovelvollisuuden ja hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain 40 luvun 5 :n mukaan, jollei teko ole rangaistava rikoslain 38 luvun 1 tai 2 :n mukaan tai jollei siitä muualla laissa säädetä ankarampaa rangaistusta. 5.4 Rikoslaki Rikoslain (39/1889 13 ) 40 luvussa säädetään virkarikoksista ja 38 luvussa taas tieto- ja viestintärikoksista. Lain 38 luvun 1 :n mukaan joka laissa tai asetuksessa säädetyn taikka viranomaisen lain nojalla erikseen määräämän salassapitovelvollisuuden vastaisesti 1) paljastaa salassa pidettävän seikan, josta hän on asemassaan, toimessaan tai tehtävää suorittaessaan saanut tiedon, taikka 2) käyttää tällaista salaisuutta omaksi tai toisen hyödyksi, on tuomittava, jollei teko ole rangaistava 40 luvun 5 :n mukaan, salassapitorikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi. Lain 2 :n mukaan jos salassapitorikos, huomioon ottaen teon merkitys yksityisyyden tai luottamuksellisuuden suojan kannalta taikka muut rikokseen liittyvät seikat, on kokonaisuutena ar- 13 http://www.finlex.fi/fi/laki/ajantasa/1889/18890039001

Suositus 32 (32) vostellen vähäinen, rikoksentekijä on tuomittava salassapitorikkomuksesta sakkoon.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute