Katakri 2015 lisää riskilähtöisyyttä Kansalliseen turvallisuusauditointikriteeristöön

26.10.2015

Kansallinen turvallisuusauditointikriteeristö Katakri 2015 hyväksyttiin käyttöön maaliskuussa 2015. Se jatkaa edeltäjiensä työtä, mutta niin mittavin uudistuksin ja rakenteellisin muutoksin, ettei Katakri 2015 ole pelkkä päivitysversio.

Katakri 2015 on tietoturvallisuuden arviointityökalu viranomaisille. Suojeltavana kohteena on viranomaisen salassa pidettävä tieto. Katakri 2015 ei itsessään aseta vaatimuksia tietoturvallisuudelle, vaan siihen kirjatut vaatimukset perustuvat voimassa olevaan lainsäädäntöön ja Suomea sitoviin kansainvälisiin tietoturvallisuusvelvoitteisiin.

Katakria voidaan käyttää muun muassa yritysturvallisuusselvityksiin liittyvissä auditoinneissa sekä muussa viranomaisten tai yritysten tietoturvallisuustyössä. Sitä ei pidä käyttää sellaisenaan julkisen hankinnan turvallisuusvaatimuksena. Julkisessa hankinnassa tarkat turvallisuusvaatimukset tulisi määrittää erikseen ottaen huomioon hankintaa koskevat riskit ja erityistarpeet.

Katakrin käytöllä pyritään varmistamaan, että kohdeorganisaatiolla on riittävät turvallisuusjärjestelyt viranomaisen salassa pidettävien tietojen paljastumisen ehkäisemiseksi kaikissa niissä ympäristöissä, joissa tietoja käsitellään.

Apulaisjohtaja Rauli Paananen Kyberturvallisuuskeskuksesta kannustaa myös yrityksiä hyödyöntämään Katakri 2015:n kriteeristöä.

Riskienhallintaa ei voi sivuuttaa

Suurimpana muutoksena aiempaan Viestintäviraston Kyberturvallisuuskeskuksen apulaisjohtaja Rauli Paananen mainitsee Katakri 2015:ssa riskiperusteisuuden korostumisen ja riskienhallinnan osuuden kasvamisen toiminnan auditoinnissa.

”Auditoijan pitää todella ymmärtää, mistä riskienhallinnassa on kysymys. Keskeinen kysymys on aina, onko riskiarvio tehty riittävän hyvin. Katarki 2015 vaatii perehtymään asioihin ja saattamaan turvallisuudenhallinnan perusprosessit kuntoon. Se on selvästi parempi menetelmä kuin aiempi oikein-väärin-vaihtoehtomäärittely.”

Paananen muistuttaa, että yrityksissä, jotka käyttävät standardeja tai joiden tietoturva tai laatu on sertifioitu, ymmärretään, minkä asioiden kanssa ollaan tekemisissä.

”Kenenkään työ Katakrin aiempien versioiden kanssa ei myöskään mene hukkaan.”

Rakenteellisia uudistuksia työn helpottamiseksi

Katakri 2015:ssa kriteeristön käytettävyyttä pyrittiin parantamaan rakenteellisilla uudistuksilla. Vaatimusten määrä saatiin näin pienenemään 160:sta 40:ään. Osa-alueita on kolme: Turvallisuusjohtaminen, fyysinen turvallisuus ja tekninen tietoturvallisuus.

Kriteeristön uudistustyössä olivat mukana toimivaltaisten viranomaistahojen lisäksi elinkeinoelämän edustajat.

”Kun kaikki sitoutuivat uudistuksiin, läpinäkyvyys parani. Tärkeää on myös, että kansalliset ja kansainväliset velvoitteet saatiin yhdistettyä samaan työkaluun”, toteaa Paananen.

Katakri 2015:ssa on ensin velvoittaviin säännöksiin perustuvat vaatimukset lähdeviitteineen. Lisäkenttään on kirjattu esimerkkejä ja toimintamalleja, jotka eivät ole sitovia. Niiden perusteena ovat muun muassa VAHTI-ohjeet. Paananen muistuttaa, ettei kuvattu toteutustapa ole ainoa oikea, vaan perustellusti joku toinen tapa voi olla yhtä hyvä.

Kevyempää versiota kaivattaisiin

Katakrin uudistustyö eteni Paanasen mielestä hyvässä ja laajassa yhteistyössä. ”Harmillista on vain, että elinkeinoelämän suositukset jäivät pois. Ne voisivat toimia kevyempänä kriteeristönä, jolle olisi kysyntää. Vähän huolestunut olen siitä, kuinka start-up-yritykset suojaavat tietopääomansa.”

Teknisen tietoturvan suojaamiseen pyritään löytämään kevyempää mallia JYVSECTEC:in Cyber Scheme Finland -pilotissa. Se pohjautuu brittien mallien hyödyntämiseen, ja mukana työssä ovat Viestintävirasto ja Elinkeinoelämän Keskusliitto EK.

Sähköisenä aina ajan tasalla

Vastuu Katakri 2015:n päivittämisestä on ulkoasianministeriössä toimivalla Kansallisella turvallisuusviranomaisella NSA:lla. Kriteeristö on pyritty tekemään aikaa kestäväksi. Muutoksia tullee lähinnä Viestintäviraston vastuualueelle kuuluvan teknisen tietoturvan osalle.

Aina ajan tasalla oleva Katakri 2015 löytyy sähköisenä viranomaisen nettisivulta. Sinne voi jättää myös palautetta. Painettuna on nyt saatavissa suomenkielisen versio ja vuoden loppuun mennessä sama englanninkielisenä. Katakri on herättänyt jo aiemmin myös kansainvälistä kiinnostusta ja siitä on tehty muun muassa japaninkielinen versio osana ydinvoimalahankkeita.

Marjo Rautvuori

Teksti

 

Erja Saraste

Kuvat ja video 

 

Rauli Paananen kertoo Katakri 2015 -uudistuksesta

 

Lisätietoa Katakri 2015:sta

Ulkoasiainministeriö
       Palautteet: nsa (at) formin.fi

Puolustusministeriö

 

 

 

 

 

Jaa artikkeli