Tietoturvatasot ohjaavat tietoturvan toteuttamista

1.12.2014

Aihepiirit

Tietoturvallisuus

Tietoturvatasot määrittelevät valtionhallinnon viranomaisille tietoturvallisuuden minimitason, joka on toteutettava kaikissa yksiköissä, toiminnoissa ja tietojärjestelmissä. Kolmen vuoden työrupeaman ansiosta on yli 60 valtion organisaatiota saavuttanut jo perustason ja 29 suuntaa jo korotetulle tasolle. 

Tietoturva kärkihankkeeksi

Valtiovarainministeriöön perustettiin 2006 ValtIT-yksikkö, jonka tehtävänä oli ohjata valtion viranomaisten IT-toimintoja. Tavoitteena oli yhtenäistää ja tehostaa toimintaa sekä välttää turhia hankkeita ja kustannuksia. ValtIT määritteli heti toimintansa alussa ns. kärkihankkeet, joiden toteuttaminen käynnistettiin yksikön toimesta. Tietoturvatasot oli yksi kärkihankkeista ja se käynnistyi vuoden 2007 alussa.

Hankkeen vetäjänä toimi Minna Romppanen. Hankkeen aikana määriteltiin luonnos tietoturvatasovaatimuksista, jotka lähetettiin laajalle lausuntokierrokselle 2008 vuoden syksyllä. Tietoturvatasojen tavoitteena on tietoturvatoiminnan kytkeminen organisaation muuhun toimintaan ja tietoturvallisuuden hallintajärjestelmän (hallintamallin) toteuttaminen. Vaatimusten määrittelyssä on huomioitu olemassa olevat tietoturvallisuuden, laadunhallinnan ja prosessien hallintamallit ja standardit.

Suunnitelmallista toimintaa

Tietoturvatasovaatimusten tavoitteena on, että tietoturvatyö on säännöllistä, hallittua ja jatkuvaa toimintaa.

 

Laatu-/kypsyysmalli-ajattelu pohjana

Tietoturvatasot koostuu kahdesta erillisestä vaatimuskokonaisuudesta, joista ensimmäinen kohdistuu organisaation toimintaan ja toinen tietojärjestelmien hallintaan.

Ensimmäisen osa-alueen jaottelussa käytettiin viitekehyksenä julkishallinnossa laajasti käytettyä CAF-laatumallia. Laatumallin jaottelu sopii erittäin hyvin tietoturvallisuuden hallintaan ja se valittiin, jotta myös organisaation johto ja henkilökunta voisivat helpommin ymmärtää tietoturvallisuuden kytkeytymisen kaikkiin toimintoihin, kuten johtamiseen, henkilöstöhallintoon, hankintatoimeen ja kumppaneiden hallintaan.

Artikkelin kirjoittaja Erja Kinnunen oli ohjaamassa kaikkien neljän tietoturvatyöpajan työskentelyä.

Tietojärjestelmien hallintaa koskevien vaatimusten taustalla puolestaan käytettiin ISM3 tietoturvallisuuden kypsyysmallia. Tietoturvatasovaatimusten tavoitteena on, että tietoturvatyö on säännöllistä, hallittua ja jatkuvaa toimintaa. Siitä syystä kaikki vaatimukset kohdistuvat menettelytapoihin ja prosesseihin, teknisiä vaatimuksia kokonaisuuteen ei kuulu.

Vaikka vaatimukset olivat lähes valmiina 2008, niin niiden julkaisu pitkittyi parilla vuodella. Syynä oli se, että ne haluttiin viranomaisia velvoittaviksi ja parasta toteutustapaa kartoitettiin. Välineen velvoittavuuden toteuttamiselle tarjosi samaan aikaan käynnissä ollut tietoturvallisuusasetuksen uudistustyö.

Asiakirjat luokitellaan tietoturvatarpeen mukaan

Tietoturvallisuusasetus määrittelee viranomaisille salassa pidettävien tietoaineistojen luokituksen ja kullekin luokalle sallitun käsittelyn.

Tietoturvatasovaatimukset kytkettiin salassa pidettävän tiedon luokitukseen siten, että suojaustaso IV (ST IV) tietojen käsittely edellyttää tietoturvallisuuden perustasoa, suojaustaso III vastaavasti korotettua ja ST II käsittely korkeaa tietoturvatasoa. Asetus tuli voimaan 1.10.2010 ja perustason toteuttamiselle säädettiin siinä kolmen vuoden siirtymäaika. Korotetun ja korkean tietoturvatason siirtymäaika puolestaan on viisi vuotta siitä kun viranomainen on ottanut luokituksen käyttöön.

Ohjeistus soveltamisen tukena

Tietoturvallisuusasetus määritteli kymmenen vaatimusta tietoturvallisuuden perustason toteuttamiseksi. Asetus on kuitenkin kirjoitettu tiiviisti, joten toteuttamisen tueksi tarvittiin seikkaperäistä ohjeistusta. Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010 ilmestyi heti asetuksen voimaantulon jälkeen ja se onkin ollut viime vuosina tärkein työkalu valtionhallinnon tietoturvatyössä.

Tietoturvatasot on huomioitu myös muissa 2010 jälkeen julkaistuissa VAHTI-ohjeissa, joissa annetaan eväitä vaatimusten toteuttamiseen esimerkiksi hankinnoissa, sovelluskehityksessä, päätelaitteissa ja toimitiloissa.

60 +
Yli 60 valtionhallinnon ministeriötä ja virastoa osallistui ensimmäisen vaiheen työpajoihin.
 

Yhdessä hyvä tulee: työpajat auttoivat tavoitteiden saavuttamisessa

Useat viranomaiset käynnistivät tietoturvallisuuden perustason toteuttamisen heti asetuksen voimaan tulon jälkeen. Valtion IT-palvelukeskus käynnisti jo vuoden 2010 alussa pilottihankkeen kuuden asiakasministeriönsä kanssa. Hankkeesta saatuja kokemuksia käytettiin hyväksi valtiovarainministeriön käynnistämissä ja Valtion IT-palvelukeskuksen toteuttamissa yhteishankkeissa, jotka käynnistyivät 2011 kesällä ja jatkuivat vuoden 2013 loppuun asti.

Hanke koostui neljästä erillisestä osa-hankkeesta, joihin osallistui yli 60 valtiohallinnon ministeriötä ja virastoa. Osallistujat kokoontuivat kuukausittain työpajoihin saamaan tietoa, ohjeista, työvälineitä ja vertaistukea tietoturvatasojen toteuttamiseen. Toteuttamisen tukena käytettiin kotitehtäviä ja seurannassa itsearviointia. Hankkeen lopuksi kaikilta osallistujilta edellytettiin ulkoista tietoturvatason arviointia.

Hankkeet toteutettiin Kirsi Janhusen laatiman projektioppaan mukaan ja niiden vetäjänä toimi Erja Kinnunen Valtio IT-palvelukeskuksesta.

Perustasolta korotetulle tasolle

Mitattuja tuloksia

Tietoturvatasojen toteuttaminen on merkittävästi parantanut valtionhallinnon viranomaisten tietoturvallisuutta, erityisesti salassa pidettävän tiedon suojaamista.

 

Perustason siirtymäaika päättyi 2013 syksyllä, ja se onkin varsin kattavasti saatu toteutettua valtionhallinnossa.

Korotetun tietoturvatason siirtymäaika jatkuu ja sen toteuttamisen tueksi käynnistyivät uudet yhteishankkeet syyskuussa 2014. Niissä pääpaino on korotetun tietoturvallisuuden ja ICT-varautumisen toteuttamissa valtionhallinnon tärkeissä tietojärjestelmissä. Hankkeet jatkuvat vuoden 2015 loppuun ja niihin osallistuu 29 organisaatiota.

Uutena tavoitteena tilannetietoisuuden lisääminen ja reagointikyky poikkeamiin

Tietoturvatasojen toteuttaminen on merkittävästi parantanut valtionhallinnon viranomaisten tietoturvallisuutta, erityisesti salassa pidettävän tiedon suojaamista. Nopeasti kehittyvä ja verkottuva toimintaympäristö asettaa kuitenkin tietoturvallisuudelle myös muita vaatimuksia.

Lähivuosina päähuomio tuleekin kiinnittää palveluiden jatkuvuuteen ja saatavuuteen sekä teknisellä puolella verkkoliikenteen tarkistamiseen ja lokitukseen. Tavoitteena tulee olla havainnointikyvyn parantaminen, ajantasaisen tilannekuvan kehittäminen ja poikkeamien perusteella tehtävien toimenpiteiden nopea toteuttaminen. Edellä kuvattuja asioita tukevat ICT-varautumisen vaatimusten toteuttaminen ja käynnissä oleva kyberturvallisuusstrategian toimeenpano-ohjelma.

 

 

 

 

Erja Kinnunen

 

 

 

 

 

 

Jaa artikkeli