Turvallisuusselvityslainsäädännön uudistus Kansainväliset tietoturvallisuusvelvoitteet Lakimies Johanna Erkkilä Säätytalo,
Turvallisuusselvityslainsäädännön uudistus Turvallisuusselvityslainsäädännön uudistamisen yhteydessä kansainvälisistä tietoturvallisuusvelvoitteista annettua lakia (588/2004) muutettiin muutokset voimaan 1.1.2015 NSA / Johanna Erkkilä 2
Keskeisimmät muutokset kansainvälisten tietoturvallisuusvelvoitteiden osalta Kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvät todistukset keskitetään nykyistä selkeämmin NSA:han Lakiin (tursel ja kvtitul) lisättiin säännökset koskien: todistuksen voimassaoloaikaa ja turvallisuusselvitysrekisteriä todistuksen peruuttamista sekä muutoksenhakuoikeutta NSA / Johanna Erkkilä 3
PSC ja FSC -todistusten keskittäminen NSA:han NSA myöntää kaikki PSC- ja FSC-todistukset = Personnel Security Clearance (PSC) Certificate = Facility Security Clearance (FSC) Certificate Esim. EU:n, Naton tai toisen valtion turvallisuusluokitellun tiedon käsittelyä varten (yleensä tasolla CONDFIDENTIAL tai korkeampi, pois lukien muutama maa) Tavoitteena yhdenmukainen todistuskäytäntö, kun todistuksia annetaan muiden maiden viranomaiselle tai kansainväliselle järjestölle NSA / Johanna Erkkilä 4
PSC-todistuksen voimassaoloaika Turvallisuusselvitys ja sen perusteella myönnettävä PSCtodistus on pääsääntöisesti voimassa 5 vuotta Poikkeuksena esim. määräaikainen tehtävä Turvallisuusselvityksen voimassaoloaikana PSC-todistus voidaan myöntää ilman uutta turvallisuusselvitystä Turvallisuusselvitysrekisteri ja seuranta Tarkoituksena on tarpeettomien turvallisuusselvitysten välttäminen ja todistuskäytännön yhdenmukaistaminen kansainvälisen käytännön kanssa NSA / Johanna Erkkilä 5
PSC-todistuksen peruuttaminen NSA voi peruuttaa PSC-todistuksen, jos Henkilö ei enää työskentele tehtävissä, jota varten todistus on annettu (kv-tietoturvallisuusvelvoitteeseen perustuva tarve päättynyt) Henkilö on laiminlyönyt kansainvälisiä tietoturvallisuusvelvoitteita Seurannassa ilmennyt teko, joka olisi esteenä PSCtodistuksen myöntämiselle NSA / Johanna Erkkilä 6
Muutoksenhakuoikeus Turvallisuusselvityksen hakija (työnantaja) ja selvityksen kohde voivat hakea muutosta päätökseen, jolla NSA on kieltäytynyt antamasta PSCtodistusta jos PSC-todistus on edellytyksenä viran tai tehtävän hoitoa varten päätökseen, jolla NSA on peruuttanut PSC-todistuksen -kuuleminen Muutosta haetaan valittamalla korkeimpaan hallintooikeuteen NSA / Johanna Erkkilä 7
FSC-todistus Yritysturvallisuusselvityksen tekee Suojelupoliisi tai Pääesikunta FSC-todistuksen antaa NSA FSC-todistus on voimassa pääsääntöisesti viisi vuotta FSC-todistus voidaan peruuttaa, jos yrityksen toiminta ei täytä enää niitä vaatimuksia, jotka ovat olleet edellytyksenä todistuksen antamiselle Yrityksen vastuuhenkilö on laiminlyönyt tietoturvallisuusvaatimuksia Muutoksenhaku kuten PSC-todistuksen osalta NSA / Johanna Erkkilä 8
Turvallisuusluokiteltua tietoa sisältävä kansainvälinen hanke Yritys saa toisen valtion tai kansainvälisen järjestön turvallisuusluokiteltua tietoa (CONFIDENTIAL tai korkeampi) Hankkeeseen osallistumisen edellytyksenä usein maiden välinen tietoturvallisuussopimus Yrityksen ja tilaajan välillä tehdään Classified Contract (jossa turvallisuuslausekkeet) Turvallisuusluokiteltujen tietojen käsittely hankkeen eri vaiheissa tilaajan tiloissa: henkilöt tarvitsevat PSC:t yrityksen tiloissa: yritys tarvitsee lisäksi FSC:n yrityksen tiloissa sähköisesti: tietojärjestelmätarkastus (osana FSC:tä) NSA / Johanna Erkkilä 9
Turvallisuusluokitellut sopimukset GSA FI-NSA UK-NSA Yritys OY Classified Contract UK viranomainen NSA / Johanna Erkkilä 10
PSC- ja FSC-todistukset kansainvälisissä hankkeissa GSA FI-NSA PSC/FSC -pyyntö UK-NSA Yritys OY Classified Contract UK viranomainen NSA / Johanna Erkkilä 11
PSC- ja FSC-todistukset kansainvälisissä hankkeissa GSA FI-NSA UK-NSA Yritys OY Classified Contract UK viranomainen NSA / Johanna Erkkilä 12
PSC/FSC-todistusta koskeva pyyntö Pääsääntöisesti toisen valtion NSA tai kansainvälisen järjestön turvallisuusviranomainen pyytää todistusta Suomen NSA:lta Todistusta koskevan pyynnön voi tehdä myös suomalainen yritys, jos todistusta edellytetään kansainvälisessä hankkeessa, johon yritys osallistuu (pyynnön liitteeksi selvitys hankkeesta ja turvallisuusvaatimuksista) Todistusta voidaan tarvita myös vierailuluvan saamiseksi, jos vierailun aikana käsitellään turvallisuusluokiteltua tietoa (Request for Visit, RfV) NSA / Johanna Erkkilä 13
PSC- ja FSC-todistusten hakeminen Yritys toimittaa PSC-hakemuksen ja turvallisuusselvityslomakkeen/fschakemuksen NSA:han NSA arvioi, onko PSC/FSC -todistukselle kansainvälisen tietoturvallisuusvelvoitteen mukainen tarve NSA lähettää turvallisuusselvityslomakkeen/yritysturvallisuusselvityspyynnön Supoon/pääesikuntaan turvallisuusselvityksen tekemiseksi NSA / Johanna Erkkilä 14
PSC-todistuksen hakeminen Supon/PE:n tekemän turvallisuusselvityksen perusteella NSA harkitsee, voidaanko PSC/FSC-todistus myöntää KYLLÄ EI PSC/FSC-todistus + tieto turvallisuusselvitysrekisteriin Päätös, johon voi hakea muutosta NSA / Johanna Erkkilä 15
PSC-hakemuslomake NSA / Johanna Erkkilä 16
Turvallisuusluokiteltu alihankintasopimus GSA GSA FI-NSA UK-NSA Yritys OY Classified Contract UK viranomainen SE-NSA Sub contract Yritys AB NSA / Johanna Erkkilä 17
PSC/FSC-todistukset ulkomailta Suomen NSA voi pyytää ulkomaan NSA:lta PSC- ja FSC-todistusta Jos ulkomainen yritys osallistuu hankkeeseen suomalaisen pääsopimuspuolen alihankkijana (edellyttää tilaajan hyväksyntää) Todistuksen saaminen edellyttää yleensä maiden välistä tietoturvallisuussopimusta Todistuksen hankkimiseen kuluva aika on maakohtainen NSA / Johanna Erkkilä 18
Yhteystiedot Kansallisen turvallisuusviranomaisen yhteystiedot sekä lisätietoja ja hakuohjeet löytyvät ulkoasiainministeriön verkkosivuilta (www.formin.finland.fi) osiosta palvelut Kansallisen turvallisuusviranomaisen functionalsähköpostilaatikko: NSA@formin.fi NSA / Johanna Erkkilä 19