Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto
Viestintäviraston tehtävät tietoturvallisuusviranomaisena Toimii määrättynä turvallisuusviranomaisena tietojärjestelmien ja tietoliikenteen tietoturvallisuutta koskevissa asioissa Arvioi ja tarvittaessa hyväksyy viranomaisten tietojärjestelmät, joissa käsitellään salassa pidettävää tai turvallisuusluokiteltua tietoa Hyväksyy tietoturvallisuuden arviointilaitokset sekä valvoo ja ohjaa niiden toimintaa Laura Kiviharju 22.1.2013 2
Tietoturvallisuuteen liittyvä lainsäädäntö Pääsääntöisesti kaikki viranomaisen asiakirjat ovat julkisia, ellei nimenomaisesti laissa ole säädetty salassapidosta» Julkisuuslain (631/1999) salassapitoperusteet» Kansainvälisen turvaluokitellun tiedon salassapito Salassa pidettävää tietoa on käsiteltävä tiedon suojaustason mukaisten vaatimusten edellyttämällä tavalla»tietoturvallisuusasetus (681/2010) määrittääyleiset tietoturvallisuusvaatimukset sekäsalassa pidettävien luokiteltujen asiakirjojen käsittelyvaatimukset Laura Kiviharju 22.1.2013 3
Mitätietoturvallisuuden arvioinnilla tarkoitetaan? Tietoturvallisuuden arvioinnin tarkoituksena todentaa, että arvioinnin kohde täyttää tiedon käsittelyä koskevat tietoturvallisuusvaatimukset» Hallinnollinen turvallisuus, fyysinen eli toimitilaturvallisuus, henkilöstöturvallisuus ja tekninen tietoturvallisuus» Ei koske tietojärjestelmiin talletettavien tietojen lainmukaisuuden tai tietosisällön arviointia Organisaation tietoturvallisuutta kehitettäessä arvioinnin tavoitteena voi olla myös nykytilan selvittäminen eli miltä osin tietoturvallisuusvaatimukset täyttyvät Arvioinnin kohde» Tietojärjestelmä tai tietoliikennejärjestely» Luokitellun tiedon käsittely-ympäristö Arvioinnissa käytettävät kriteeristöt» Kansallinen turvallisuusauditointikriteeristö (KATAKRI)» Tietoturvallisuusasetuksen täytäntöönpanoa koskevat valtiovarainministeriön ohjeet (VAHTI) Laura Kiviharju 22.1.2013 4
Tietoturvallisuuden arviointilaitos Arviointitoiminnan siirtäminen osittain yksityisille toimijoille Lainsäädännössä ei tällä hetkellä säännöksiä yritysten tietoturvallisuuden arviointia harjoittavien laitosten toiminnasta Luotettavaa ja pätevyysvaatimukset täyttävää arviointipalvelua Arvioinnissa tarkastetaan arvioinnin kohteen toimitilat Viranomaishyväksyntää edellytetään edelleen joissain tilanteissa (esim. EU-tietoa käsittelevät tietojärjestelmät)» Hyväksyntävoi kuitenkin pohjautua arviointilaitoksen tekemään arviointiin Laura Kiviharju 22.1.2013 5
Tietoturvallisuuden arviointiperusteet 1. lailla tai asetuksella säädettyjä viranomaisten toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön tietoturvallisuutta koskevia ohjeita*) 2. kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen antamia kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevia ohjeita**) 3. Euroopan unionin tai muun kansainvälisen toimielimen antamia tietoturvallisuutta koskevia säännöksiä ja ohjeita**) 4. julkaistuja ja yleisesti tai alueellisesti sovellettuja tietototurvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita 5. vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia***) *) VAHTI 2/2010 ohje **) KATAKRI (Kansallinen turvallisuusauditointikriteeristö) ***) esim. ISO 27001 Laura Kiviharju 22.1.2013 6
Viranomainen arviointilaitoksen asiakkaana Viranomaisen tietoturvallisuuden kehittäminen Luokiteltujen asiakirjojen käsittely-ympäristöjen arviointi» Tietoturvallisuusasetuksen mukaisten tietoturvallisuusvaatimusten täytäntöönpano» Luokitellun tiedon käsittelyvaatimukset toteutettava viiden vuoden kuluessa lukituspäätöksestä» Toimitilaturvallisuusvaatimukset 1.10.2015 mennessä Tietojenkäsittelyä koskevia velvoitteita noudatettava myös silloin, kun tietojenkäsittelytehtäviä hoidetaan viranomaisen toimeksiannosta» Viranomaisen hankinnat, palveluiden ulkoistaminen Viranomaisten tietojärjestelmien tietoturvallisuuden arvioinnissa käytettävät arviointipalvelut» Valtionhallinnon viranomaisen käytettävä Viestintävirastoa tai sen hyväksymää arviointilaitosta 1.6.2015 lukien (laki 1406/2011) Laura Kiviharju 22.1.2013 7
Yritys arviointilaitoksen asiakkaana Yritysturvallisuuden edistäminen luomalla valvonta yritysten tietoturvallisuutta arvioiville laitoksille Mahdollisuus osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan arvioinnin avulla Yritys, joka suunnittelee osallistumista hankkeeseen, jossa käsitellään turvallisuusluokiteltua tietoa» mahdollisuuden varautua nykyistä paremmin turvallisuusviranomaisen turvallisuusselvitykseen Viranomaisille tietojenkäsittely- tai tietoliikennepalveluja tarjoava yritys Laura Kiviharju 22.1.2013 8
Yhteenvetoa Riippumaton ja viranomaisvalvonnan alainen arviointimenettely, jolla voidaan todentaa lainsäädännön tietoturvallisuusvaatimusten toteuttaminen Valtionhallinnon viranomaisten velvollisuus käyttää hyväksyttyä arviointilaitosta tietojärjestelmäarvioinneissa Yritysturvallisuus kilpailuetuna ja suomalaisten yritysten kilpailukyvyn parantaminen kansainvälisillä markkinoilla Laura Kiviharju 22.1.2013 9