Ohje 1 (7) Juha Salpakari 13.09.2017 Riskienhallinta Viestintäviraston tietoturvapolitiikka 2017-
2 (7) Sisältö 1 Visio tietoturvallisuudesta Viestintävirastossa... 3 2 Tietoturvapolitiikka ja sen velvoittavuus... 3 3 Tietoturvalinjauksia... 3 4 Tietoturvan osa-alueet... 3 5 Tietoturvan hallinta ja organisointi... 4 5.1 Tietoturvan hallinnan ulkoinen toimintaympäristö... 4 5.2 Tietoturvan hallinnan tavoitteet ja mahdollisuudet... 5 5.3 Tietoturvallisuuden hallintajärjestelmä... 5 5.4 Tietoturvallisuuden organisoiminen ja vastuut... 5 5.5 Seuranta... 6 5.6 Tietoturvapolitiikan vastainen toiminta... 7 6 Allekirjoitukset... 7
3 (7) 1 Visio tietoturvallisuudesta Viestintävirastossa TIETOTURVALLISUUS ON VIESTINTÄVIRASTON KRIITTINEN MENESTYSTEKIJÄ JA TOIMINNAN MAHDOLLISTAJA. VIESTINTÄVIRASTO ON TIETOTURVA-ASIOISSA EDELLÄKÄVIJÄ. 2 Tietoturvapolitiikka ja sen velvoittavuus Tietoturvapolitiikka linjaa Viestintäviraston tahtotilan tietoturva-asioissa. Viestintäviraston strategian kriittiset menestystekijät toteutuvat noudattamalla tietoturvapolitiikkaa. Tietoturvapolitiikka koskee kaikkia virastossa työskenteleviä ja se ulotetaan soveltuvin osin myös toimittajiin ja muihin sidosryhmiin. Virastossa on tietoturvapolitiikan lisäksi tietoturvaan liittyviä suunnitelmia, ohjeita ja menetelmäkuvauksia. Tietoturvapolitiikka katselmoidaan säännöllisesti, vähintään kerran vuodessa sen ajantasaisuuden varmistamiseksi. Tietoturvatoimenpiteitä kohdistetaan tarpeellisiksi katsottuihin kohteisiin. Tietoturvariskejä arvioidaan säännöllisesti, tunnistetuille riskeille kohdistetaan riskienhallintakeinoja ja riskienhallintatoimenpiteiden onnistumista seurataan. 3 Tietoturvalinjauksia Viraston tietoturvatavoitteiden saavuttamiseksi asetetaan seuraavia peruslinjauksia: Viraston työtilat ja -välineet ovat lähtökohtaisesti työntekoa varten. Turvallisuutta tai viraston etuja vaarantava toiminta on kiellettyä. Virastossa noudatetaan mahdollisuuksien mukaan puhtaan pöydän politiikkaa. Luokitellut aineistot säilytetään luokituksensa mukaisessa lukitussa tilassa silloin, kun niitä ei käsitellä. Tarvittavat kriittiset toimet viraston tietoturvallisuuden ylläpitämiseksi toteutetaan viipymättä. Viraston toimintaan kohdistuvat tietoturvavaatimukset sisällytetään soveltuvin osin ostopalvelusopimuksissa toimittajille. Toimittajien henkilöstön tulee noudattaa viraston tietoturvaohjeita. Virastoon kohdistuvat tietoturvaloukkaukset annetaan lähtökohtaisesti poliisin tutkittaviksi. 4 Tietoturvan osa-alueet Viestintäviraston tietoturvallisuuteen kuuluu seuraavia osa-alueita: Tietoturvavisio- ja politiikka Tietoturvaorganisaatio Henkilöstöturvallisuus, jolla varmistetaan viraston kanssa toimivien henkilöiden sopivuus tehtäväänsä. Suojattavan omaisuuden hallinta, jolla varmistetaan että omaisuus luokitellaan, merkitään ja käsitellään oikein.
4 (7) Pääsynhallinnalla varmistetaan vain oikeutettujen henkilöiden pääsy tietoon. Salauksella suojataan tietojen luottamuksellisuutta, aitoutta ja eheyttä. Toimitilaturvallisuudella huolehditaan toimitilojen ja ympäröivien alueiden turvallisuudesta. Käyttöturvallisuudella huolehditaan tietojenkäsittelypalveluiden toteuttamista asianmukaisesti, turvallisesti ja häiriöttömästi. Viestintäturvallisuudella varmistetaan tietoliikenneverkkojen ja tietoliikenteen turvallisuus ja häiriöttömyys. Tietojärjestelmien hankinta-, kehitys- ja ylläpitokäytännöillä varmistetaan, että tietojärjestelmien turvallisuudesta huolehditaan kulloinkin oikealla tavalla niiden elinkaaren eri vaiheissa. Toimittajasuhteisiin liittyvät turvallisuusnäkökulmat. Tietoturvahäiriöiden hallinnalla varmistetaan, että toimintamalli häiriöihin reagoimiseksi on johdonmukainen ja vaikuttava, ja että häiriöistä viestitään tarvittavin tavoin. Jatkuvuuden hallinnalla huolehditaan tietoturvatavoitteiden huomioinnista jatkuvuussuunnittelussa ja täyttymisestä kaikissa tilanteissa. Vaatimustenmukaisuudella varmistetaan tietoturvallisuuden hallinnan yhdenmukaisuus säädösten ja sidosryhmävaatimusten kanssa. Viraston tietoturvallisuuden hallintakeinoihin sisältyvät edellä mainittuihin osa-alueisiin liittyvät hallintakeinot luvussa 5.3 mainituista vaatimuslähteistä sekä muita tarpeellisia tietoturvallisuuden hallintakeinoja. 5 Tietoturvan hallinta ja organisointi 5.1 Tietoturvan hallinnan ulkoinen toimintaympäristö Viestintävirasto on liikenne- ja viestintäministeriön (LVM) hallinnonalalla toimiva viranomainen. LVM ohjaa viraston toimintaa tulossopimuksella. Oman toimintansa ohjaamiseksi virasto ylläpitää visiota ja strategisia tavoitteita. Viraston tietoturvallisuuteen liittyviä velvoitteita määrittäviä ulkoisia vaatimuksia ovat: laki viranomaisen toiminnan julkisuudesta, henkilötietolaki, laki kansainvälisistä tietoturvallisuusvelvoitteista sekä valmiuslaki. Tietoturvallisuutta ohjaavat myös asetus tietoturvallisuudesta valtionhallinnossa, hyvä tiedonhallintatapa, valtionhallinnon tietoturvatasojen vaatimukset sekä sidosryhmien kanssa laaditut sopimukset. Virastossa ylläpidetään toimintaympäristöä koskevaa analyysiä tavoitteiden varmistamiseksi ja toimenpiteiden kohdentamiseksi. Käytössä on ulkoisten sekä turvallisuusvaatimuksia asettavien sidosryhmien osalta sidosryhmälinjaukset ja -hallinnan periaatteet. Keskeisimmät viraston tietoturvallisuuteen vaikuttavat toimet viestitään sidosryhmille viraston toiminta- ja taloussuunnitelmassa. Viestintävirasto hyödyntää konserniohjauksen tarjoamia tietoturvapalveluita ja osallistuu aktiivisesti valtionhallinnon tietoturvallisuuden kehittämiseen.
5 (7) 5.2 Tietoturvan hallinnan tavoitteet ja mahdollisuudet Tietoturvapolitiikan tarkoituksena on ylläpitää viraston tietoturvallisuutta sekä suojata viraston ja sen asiakkaiden tietoja. Viestintäviraston tietoturvallisuudella varmistetaan tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien tavoitteiden täyttyminen, täytetään virastoon viranomaisena kohdistuvat vaatimukset, lisätään luottamusta virastoon yhteistyökumppanina sekä edesautetaan viraston tavoitteiden saavuttamista. Hyvin hallittu tietoturvallisuus mahdollistaa LVM:n kanssa tehtävän tulossopimuksen tavoitteiden saavuttamisen, viraston strategian mukaisten tavoitteiden saavuttamisen, luotettavien sähköisen asioinnin palveluiden ja viestinnän toteuttamisen viraston asiakkaille ja sidosryhmille, nykyaikaisia joustavia etä-, matka- ja toimistotyöskentelyn tapoja tukevat työvälineet nopean toipumisen ja työskentelyn jatkumisen häiriöistä huolimatta. Viraston tietoturvatoimenpiteillä taataan häiriötön tietojenkäsittely, suojataan viraston ja asiakkaiden salassa pidettäviä tietoja sekä varmistetaan, että viraston toiminnan kannalta keskeiset tiedot, tietojärjestelmät ja palvelut ovat aina saatavissa. 5.3 Tietoturvallisuuden hallintajärjestelmä Viestintäviraston tietoturvallisuuden hallinta- ja johtamisjärjestelmän tarkoituksena on tukea viraston tietoturvavision ja -politiikan mukaisten tavoitteiden saavuttamista. Hallintajärjestelmä on kokoelma prosesseja, toimintatapoja, välineitä ja ohjeita, joilla varmistetaan, että tietoturvatoimenpiteet ovat kulloinkin oikein mitoitettu ja kohdistettu. Hallintajärjestelmän toimintaa parannetaan jatkuvasti poikkeamien, auditointien, saatujen palautteiden, innovaatioiden ja muiden havaintojen kautta. Viestintäviraston tietoturvallisuuden hallinnassa tavoitellaan voimassaolevien ISO/IEC 27001 -standardin vaatimusten, valtionhallinnon tietoturvavaatimusten ja -suositusten sekä kansallisen turvallisuusauditiointikriteeristön (Katakri) mukaisuutta kulloinkin soveltuvalla tavalla. Tavoitteiden saavuttaminen varmistetaan tarvittavilla auditoinneilla. Tietoturvallisuuden hallintatavoitteista ylläpidetään dokumentoitua tietoa. Dokumentaatio voi olla asiakirjamuotoista, tietokannassa, tai muussa muodossa, jossa tehdyt muutokset ovat hallittuja. Olennaiset hallintatavoitteita tai niiden saavuttamista koskevat muutokset käsitellään viraston johtoryhmässä. Riskienhallintapäällikkö voi tehdä vähäisiä täydennyksiä ja korjauksia hallintakeinoja koskeviin kuvailuihin. 5.4 Tietoturvallisuuden organisoiminen ja vastuut Tietoturvallisuus on osa viraston riskienhallintaa. Virastossa on seuraavat roolit ja vastuut tietoturvallisuuteen liittyen:
6 (7) 5.5 Seuranta Pääjohtaja vastaa tietoturvallisuusasioiden johtamisesta ja virastoon kohdistuvien vaatimusten säädöstenmukaisuudesta. Pääjohtaja päättää tietoturvallisuuden linjauksista, organisoinnista, tehtävistä ja vastuista. Viraston johtoryhmä käsittelee viraston turvallisuuteen sekä valmius- ja varautumistoimintaan liittyvät suunnitelmat, raportit, kehityskohteet, politiikat ja ohjeet sekä sisäisen turvallisuuden virastotasoiset asiat. Viraston kriisijohtoryhmä päättää ja käynnistää tarvittavat toimenpiteet viraston toimintaedellytyksiä tai turvallisuutta vaarantavan kriisin vaikutusten torjumiseksi ja rajoittamiseksi, sekä kriisistä palautumiseen tähtäävien toimenpiteiden käynnistämiseksi. Riskienhallinnan ohjausryhmä vastaa viraston riskienhallinnan ja tietoturvallisuuden sovittujen mittarien, raporttien ja sidosryhmäpalautteiden seurannasta, johdon katselmuksista ja muista riskienhallintapolitiikassa kuvatuista asioista. Riskienhallintaryhmä käsittelee viraston toiminnassa tapahtuneiden turvallisuuspoikkeamien yhteenvedot, seuraa tietoturvamittareita, valmistelee turvallisuusohjeita sekä edistää turvallisuustietoisuutta. Muut ryhmän tehtävät on kuvattu riskienhallintapolitiikassa. Johtajat, päälliköt ja esimiehet vastaavat tietoturvallisuudesta ja siitä tiedottamisesta oman toimialueensa, yksikkönsä ja ryhmänsä toiminnassa. Jokainen viraston henkilökuntaan kuuluva vastaa oman lähiympäristönsä ja tehtäviensä tietoturvallisuudesta sekä annettujen ohjeiden noudattamisesta. Virastolaiset ilmoittavat havaitsemistaan puutteista, poikkeamista tai läheltä piti -tilanteista riskienhallintasovellukseen tai kiireellisessä tapauksessa esimiehelleen tai riskienhallintapäällikölle. Riskienhallintapäällikkö ohjaa ja kehittää viraston sisäistä tietoturvatoimintaa, huolehtii tietoturvan hallinnan dokumentoinnista, järjestää suunnitelmien mukaiset auditoinnit sisäisten tai ulkoisten auditoijien kanssa, valmistelee tietoturvan hallintaa koskevat raportit sekä käsittelee poikkeamailmoitukset. Sisäinen auditoija tekee arviointeja viraston turvallisuuden hallinnasta. Viestintäviraston riskienhallintapäällikön sijaisena tietoturvallisuusasioissa toimii viraston tietohallintojohtaja tai muu pääjohtajan määräämä henkilö. Viraston tietojärjestelmille määritellään omistaja, vastuuhenkilö, käyttäjät sekä tietojärjestelmien käytön ja ylläpidon henkilöstö. Omistaja vastaa siitä, että tietojärjestelmästä on kirjattuna hallintodiaariin tietojärjestelmäseloste sekä tarvittaessa voimassaolevan henkilötietolain mukainen rekisteriseloste. Viraston tietoturvallisuuden hallintaa seurataan ja parannetaan jatkuvasti. Riskienhallinnan ohjausryhmä seuraa tietoturvallisuuden tilaa säännöllisen raportoinnin, mittareiden, auditointien ja katselmusten avulla.
7 (7) 5.6 Tietoturvapolitiikan vastainen toiminta Viestintäviraston tietoturvallisuustoiminnassa noudatetaan aina sisäisten ohjeiden lisäksi lakeja, asetuksia ja viranomaismääräyksiä sekä viraston strategian mukaisia, toimintaa ohjaavia periaatteita. Tietoturvapolitiikan vastainen toiminta voi johtaa tapauksesta riippuen virkamieslain tai rikoslain mukaisiin rangaistusseuraamuksiin sekä vahingonkorvauksiin asianomistajille. 6 Allekirjoitukset Tämä ohje tulee voimaan heti ja korvaa aiemmat versiot. Helsingissä 13. syyskuuta 2017 Pääjohtaja Kirsi Karlamaa Riskienhallintapäällikkö Juha Salpakari