Euroopan unionin neuvosto Bryssel, 6. heinäkuuta 2015 (OR. en) 10416/15 CSCI 43 CSC 162 ILMOITUS: I/A-KOHTA Lähettäjä: Neuvoston turvallisuuskomitea Vastaanottaja: Pysyvien edustajien komitea / Neuvosto Asia: Tietojen turvaaminen: viestintä- ja tietojärjestelmien turvallisuussuunnittelua koskevat turvallisuusperiaatteet 1. Neuvoston päätöksessä turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi 1 edellytetään, että "neuvosto hyväksyy turvallisuuskomitean suosituksesta tarvittaessa turvallisuusperiaatteita, joissa esitetään toimenpiteitä tämän päätöksen panemiseksi täytäntöön". (ks. 6 artiklan 1 kohta). 2. Neuvoston turvallisuuskomitea on päättänyt suositella periaatteita, joissa asetetaan vaatimukset viestintä- ja tietojärjestelmien turvallisuussuunnittelulle EU:n turvallisuusluokiteltujen tietojen suojaamiseksi luottamuksellisuuden, eheyden, käytettävyyden ja tarvittaessa aitouden ja kiistämättömyyden osalta. 3. Edellyttäen, että pysyvien edustajien komitea vahvistaa asian, neuvostoa pyydetään hyväksymään liitteenä olevat turvallisuusperiaatteet. 1 Neuvoston päätös 2013/488/EU, EUVL L 274, 15.10.2013, s. 1. 10416/15 pa/sl/jk 1
Tarkoituksella tyhjäksi jätetty sivu 10416/15 pa/sl/jk 2
Tietojen turvaaminen: viestintä- ja tietojärjestelmien turvallisuussuunnittelua koskevat turvallisuusperiaatteet IASP 5 10416/15 pa/sl/jk 3
I TARKOITUS JA SOVELTAMISALA 1. Näillä neuvoston hyväksymillä neuvoston turvallisuussääntöjen (jäljempänä "turvallisuussäännöt") 6 artiklan 1 kohdan mukaisilla periaatteilla vahvistetaan EU:n turvallisuusluokiteltujen tietojen suojaamista koskevat vaatimukset. Kyseessä on velvoite, jota noudattamalla voidaan saavuttaa yhtäläinen taso turvallisuussääntöjen täytäntöönpanossa. 2. Näissä periaatteissa määritellään erityiset turvallisuusperiaatteet ja -toimet, jotka sisällytetään organisaation viestintä- ja tietojärjestelmän suunnittelupuitteisiin sen varmistamiseksi, että turvallisuuskysymykset otetaan huomioon ajoissa viestintä- ja tietojärjestelmää kehitettäessä. 3. Neuvosto ja neuvoston pääsihteeristö soveltavat näitä turvallisuusperiaatteita EU:n turvallisuusluokiteltujen tietojen suojaamiseen tiloissaan ja viestintä- ja tietojärjestelmissään. 4. Jäsenvaltiot toimivat kansallisten lakiensa ja asetustensa mukaisesti niin, että turvallisuusperiaatteissa vahvistettuja vaatimuksia noudatetaan käsiteltäessä EU:n turvallisuusluokiteltuja tietoja kansallisissa rakenteissa, kansalliset viestintä- ja tietojärjestelmät mukaan luettuina. 5. Euroopan unionista tehdyn sopimuksen V osaston 2 luvun nojalla perustettujen EU:n virastojen ja elinten sekä Europolin ja Eurojustin olisi noudatettava näitä turvallisuusperiaatteita pannessaan täytäntöön turvallisuussääntöjä omissa rakenteissaan. 6. Järjestelmän turvallisuussuunnittelussa on varmistettava, että viestintä- ja tietojärjestelmän turvallisuustaso vastaa järjestelmään liittyviä riskiperusteisia odotuksia. Jos tällaista vastaavuutta ei ole, koska valmiudet eivät ole odotusten mukaisia tai puuttuvat, viestintä- ja tietojärjestelmät ovat mahdollisesti alttiita havaitsemattomalle väärinkäytölle. Näissä periaatteissa vahvistetaan vähimmäisperiaatteet ja -toimet, jotka on toteutettava viestintä- ja tietojärjestelmän suunnitteluvaiheessa (sellaisina kuin ne on määritelty tietojen turvaamista koskevissa turvallisuusperiaatteissa 1 viestintä- ja tietojärjestelmien koko elinkaarelle) tällaisen väärinkäytön mahdollisuuksien vähentämiseksi riskinhallinnan pohjalta. 2 Katso asiak. 16268/12. 10416/15 pa/sl/jk 4
7. Näissä periaatteissa ei kuvata erityisiä järjestelmän turvallisuussuunnittelun puitteita. Organisaation on pikemminkin sisällytettävä nämä periaatteet viestintä- ja tietojärjestelmänsä suunnittelupuitteisiin ja varmistettava, että niiden täytäntöönpanon tukemiseksi on käytettävissä riittävästi resursseja. Näiden periaatteiden ja toimien täytäntöönpanon yhteiset vähimmäisvaatimukset määritellään yksityiskohtaisesti asianmukaisissa suuntaviivoissa turvallisuustavoitteittain. II JÄRJESTELMIEN TURVALLISUUSSUUNNITTELU Järjestelmien turvallisuussuunnittelun periaatteet 8. Organisaation on kehitettävä menettelyt jäljempänä määriteltyjen periaatteiden panemiseksi täytäntöön. Näistä periaatteista poikkeaminen on perusteltava viestintä- ja tietojärjestelmän turvallisuusdokumentaatiossa. a) Jatkuva turvallisuushaaste: kaikki turvallisuusoletuksia ja -todisteita on säännöllisesti koeteltava hyväksyntäviranomaisen asianmukaiseksi katsomalla tavalla. b) Turvalliset kokonaissuunnitelmat: Arkkitehtuurin ja rakenteen kokonaissuunnitelmissa on noudatettava parhaita käytäntöjä ja pantava täytäntöön ainakin syvyyssuuntaisen turvallisuuden, kerroksellisuuden/segmentoinnin, vähimmäistoimintojen ja yksinkertaisuuden käsitteet. Edellä mainittujen kokonaissuunnitelmien valinnan perusteet on dokumentoitava. c) Tietoturvatuote: Viestintä- ja tietojärjestelmän on perustuttava hyväksyttyihin tuotteisiin asiaankuuluvien tietojen turvaamista koskevien turvallisuusperiaatteiden ja yritysten turvallisuusarkkitehtuurissa (ESA) esitetyn mukaisesti. Operatiivisen tiedonturvaamisviranomaisen on dokumentoitava ja perusteltava sellaisen tuotteen valinta, joka ei täytä tätä vaatimusta, ja se on hyväksyttävä hyväksymismenettelyssä. Toteutus tapahtuu hyväksyttyjen ja päivitettyjen asetusten avulla koulutetun henkilöstön johdolla. d) Turvallisuuskoulutus: Turvallisuutta koskeviin tai siihen vaikuttaviin suunnittelutoimiin (esim. arkkitehtuuri, rakenne, koodaus, asetukset, testaus ja hankinnat) osallistuvalla henkilöstöllä on oltava asianmukainen koulutus; tällaisesta koulutuksesta olisi pidettävä kirjaa. 10416/15 pa/sl/jk 5
e) Turvallisuuspalvelut: Jokaisen viestintä- ja tietojärjestelmän on toteutettava ainakin tunnistamista ja todentamista, pääsynvalvontaa ja vastuuvelvollisuutta koskevia turvallisuuspalveluja. Vastaavien järjestelyjen on oltava järjestelmäkohtaisessa turvavaatimusilmoituksessa vaaditulla vahvuuden ja turvaamisen tasolla. f) Turvallisuustehtävät: Järjestelmän kehittämisen ja laadunvarmistuksen (mukaan lukien hyväksyminen) tehtäviä eivät voi hoitaa samat toimijat. g) Järjestelmien erottaminen: operatiivisen järjestelmän ja testausjärjestelmän pitäisi olla erilaiset. Jos operatiivista järjestelmää käytetään myös päivityksen (esim. paikkaus, ohjelman uusi versio) testaamiseen, turvallisuusdokumentaation on sisällettävä kaikki tehtävät, jotka on suoritettava viestintä- ja tietojärjestelmien turvallisuustavoitteiden vaarantumisen välttämiseksi. Viestintä- ja tietojärjestelmien turvallisuusympäristöä koskeva katsaus 9. Viestintä- ja tietojärjestelmien turvallisuus voi vaarantua jo ennen kuin järjestelmä luovutetaan operatiiviseen käyttöön: suunnittelua ja tulevaisuuden toimintaympäristöjä koskevien mahdollisten haavoittuvuuksien riittämätön arviointi voi mahdollistaa eitoivottujen komponenttien tai toimintojen lisäämisen (tai jäämisen) mahdollisin turvallisuustasoa koskevin vaikutuksin. 10. Voidakseen tunnistaa ja arvioida tarkasti nämä mahdolliset haavoittuvuudet organisaation on laadittava ja pidettävä ajan tasalla viestintä- ja tietojärjestelmien turvallisuusympäristöä koskeva katsaus. Yritysten turvallisuusarkkitehtuuriin sisällytettävässä katsauksessa on a) tunnistettava kaikki viestintä- ja tietojärjestelmän elinkaaren aikana käytetyt resurssit, jotka ovat teknisiä (esim. uudelleen käytetyt algoritmit, koodausstandardit ja kääntäjän kaltaiset työkalut), inhimillisiä (esim. taitotieto ja turvallisuusselvitys), toimitiloja (esim. turvallisuustaso ja pääsy) tai menettelyjä (esim. hankinnat, toimitusketju ja paikkaus), ja seurattava niitä; b) määriteltävä näiden resurssien luotettavuustaso. c) Sen tukena on oltava asianmukaiset menettelyt sen määrittämiseksi, miten resursseja otetaan käyttöön, muutetaan tai poistetaan. d) Sitä on koeteltava turvallisuusoletusten ja -varmistusten osalta, jotta voidaan taata, että se on jatkuvasti organisaation riskinottohalukkuuden mukainen. 10416/15 pa/sl/jk 6
11. Kehitettäessä uutta viestintä- ja tietojärjestelmää (tai olemassa olevan viestintä- ja tietojärjestelmän uutta komponenttia) katsauksen avulla täydennetään perusteluvaiheessa kehitettyä käsitteellisen tason turvallisuusarkkitehtuuria arkkitehtuuria koskevilla lisävaatimuksilla mahdollisten haavoittuvuuksien ja uhkien torjumiseksi. Näitä lisävaatimuksia on käsiteltävä järjestelmäkohtaisessa riskinarvioinnissa, ja ne on dokumentoitava järjestelmäkohtaisessa turvavaatimusilmoituksessa. JÄRJESTELMIEN TURVALLISUUSSUUNNITTELUTOIMET 12. Jotta varmistetaan turvallisuuden asianmukainen huomioon ottaminen järjestelmissä, organisaation viestintä- ja tietojärjestelmän arkkitehtuuripuitteisiin ja projektinhallintamenettelyihin on sisällyttävä ainakin seuraavat toimet: a) Valitaan toiminnan ja arkkitehtuurin kuvauskielet, joilla voidaan esittää viestintä- ja tietojärjestelmän turvallisuusnäkökohdat. b) Laaditaan yksityiskohtaiset arkkitehtuuri- ja rakennekatsaukset, joihin sisältyvät turvallisuuspalvelut ja -järjestelyt. c) Kehitetään puitteet tietoturvavarmistusasioiden käsittelylle sen määrittämiseksi, miten väitteet ja niitä tukeva näyttö esitetään ja testataan. 13. Organisaation on laadittava strategia viestintä- ja tietojärjestelmän (tai sen komponenttien) kehittämiseksi sisäisten resurssien tai ulkopuolisen toimittajan / ulkopuolisten toimittajien avulla. Tässä strategiassa on käsiteltävä ainakin seuraavien seikkojen turvallisuusnäkökohtia: a) sisäiset valmiudet kehittää erityisten turvallisuustavoitteiden mukainen viestintä- ja tietojärjestelmä; b) perusteet, joilla valitaan viestintä- ja tietojärjestelmän sisäinen tai ulkoinen kehittäminen; c) julkisia hankintoja koskevat määräykset, joilla varmistetaan asianmukainen turvallisuusvaatimusten huomioon ottaminen tarjousta valittaessa; d) määräykset, jotka sisällytetään sopimusasiakirjoihin toimittajien oikeuksien ja velvollisuuksien määrittelemiseksi. 10416/15 pa/sl/jk 7
14. Viestintä- ja tietojärjestelmien kehittämisen avuksi organisaation on a) kehitettävä dokumentoitujen ja tunnettujen arkkitehtuurien ja ratkaisujen arkisto organisaation yleisimpien toimintatarpeiden tyydyttämiseksi; b) laadittava luettelo hallituista turvallisuusvalvontatoimista, joita voidaan käyttää turvallisuustason toteuttamiseen. Näiden valvontatoimien tueksi on oltava asianmukaiset menettelyt niiden tehokkuuden osoittamiseksi; c) määriteltävä viestintä- ja tietojärjestelmän hyväksytyt ympäristöt, luetellen resursseja koskevat yksityiskohdat (esim. toimitilat, ohjelmistot, välineet ja henkilöstö), joita käytetään järjestelmän eheyden ja testauksen luottamuksellisuuden varmistamiseksi sen kehittämisvaiheessa. Nämä hyväksytyt ympäristöt sovitetaan yhteen viestintä- ja tietojärjestelmien turvallisuusympäristöä koskevan katsauksen kanssa. 15. Järjestelmää kehitettäessä on huolehdittava siitä, että a) kaikki poikkeamiset yrityksen turvallisuusarkkitehtuurista on perusteltava. Uusien tuotteiden tai vaihtoehtojen käyttöönoton tueksi on esitettävä todisteet niiden soveltuvuudesta turvallisuusasetusten ja toiminnan kannalta, tai turvallisuusjärjestelyjen hyväksyntäviranomaisen on hyväksyttävä ne nimenomaisesti. b) Jos monimutkainen järjestelmä on hajotettava, komponenttien turvallisuustavoitteet pysyvät samoina kuin koko järjestelmän. c) Jos arkkitehtuuri tai rakenne muuttuvat merkittävästi, päivitetyt katsaukset on hyväksytettävä sidosryhmillä sen varmistamiseksi, että niiden turvallisuushuolet otetaan edelleen asianmukaisesti huomioon. JÄRJESTELMÄN TURVALLISUUSTESTAUS 16. Organisaation on suunniteltava asteittainen turvallisuustestaus järjestelmän kehittämisen ajaksi. Testit, jotka on suoritettava viestintä- ja tietojärjestelmän turvallisuustason varmistamiseksi, kun järjestelmää asennetaan operatiivisiin tiloihin, on dokumentoitava viestintä- ja tietojärjestelmän asennuksen testausasiakirjassa. Tämä asiakirja tulee olemaan osa turvallisuusmenettelyjä (SecOP:t). 10416/15 pa/sl/jk 8
17. On kehitettävä puitteet tietoturvavarmistusasioiden käsittelylle sen määrittelemiseksi, miten väitteitä voidaan tukea näytöllä. Näytön olisi oltava mitattavissa ja toistettavissa ja tukeuduttava konkreettisia parametreihin. Asioiden on varmistettava, että turvallisuusjärjestelyt ovat järjestelmäkohtaisen turvavaatimusilmoituksen edellyttämällä tasolla. 18. Organisaation on varmistettava, että a) testaustavoitteet, -menetelmät ja -välineet ovat tietoturvavarmistusasian mukaisia; b) testauksen suorittaa koulutettu henkilöstö; c) kehittämisprosessissa on suoritettava mahdollisimman pian osittainen turvallisuustestaus, jotta vältettäisiin osittaiset kehittämispäätökset, joiden seuraukset voisivat haitata viestintä- ja tietojärjestelmän turvallisuustavoitteita; d) jos testaus on ulkoistettu, sitä on tuettava menettelyillä, joilla varmistetaan suoritettujen testien riittävä valvonta ja testaustietojen luokittelu. SUUNNITTELUVAIHEEN TUOTOKSET 19. Operatiiviseen käyttöön luovutetussa järjestelmässä on oltava mukana ainakin seuraava turvallisuusdokumentaatio: a) järjestelmäkohtainen turvavaatimusilmoitus (SSRS); b) turvallisuusmenettelyt (SecOP:t); c) turvallisuutta koskevat resurssisuunnitelmat turvallisuuden ylläpitämiseksi, mukaan lukien hankintaa ja ulkoistamista koskevat yksityiskohtaiset ehdot ja varmistus tarvittaessa. 10416/15 pa/sl/jk 9