2 - Viestintävirasto

Ohje tietoturvallisuuden arviointilaitoksille
2 (44)
Ohje
29.1.2015
Versiohistoria
Versio
Päiväys
Kuvaus/muutos
Tekijä
1.0
7.5.2013
[Ensimmäinen versio]
Laura Kiviharju
2.0
29.1.2015
Luku 6, laki sosiaali- ja
terveydenhuollon
asiakastietojen
sähköisestä
käsittelystä annetun
lain muuttamisesta
(250/2014) ja
sähköisestä
lääkemääräyksestä
annetun lain
muuttamisesta
(251/2014)
Laura Kiviharju
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
3 (44)
29.1.2015
Sisältö
1
2
3
4
Johdanto ................................................................................................... 5
1.1
Ohjeen tarkoitus ja soveltamisala ....................................................... 5
1.2
Määritelmät ...................................................................................... 5
1.3
Tietoturvallisuuden arviointitoiminnan tarkoitus .................................... 6
1.3.1
Viranomaisten yleiset tietoturvallisuusvaatimukset.................. 6
1.3.2
Viranomaisten tietojärjestelmien ja luokiteltujen asiakirjojen
käsittely-ympäristöjen arviointi ............................................ 7
1.3.3
Yritysturvallisuuden edistäminen ja kehittäminen.................... 7
Tietoturvallisuustoiminnan organisointi ja vastuut ................................... 8
2.1
Arvioinnin toimeksiantaja ................................................................... 8
2.2
Salassa pidettävää tietoa käsittelevä taho ............................................ 8
2.3
Tietoturvallisuuden arviointilaitos ........................................................ 8
2.4
Viestintävirasto ................................................................................. 9
2.5
FINAS-akkreditointipalvelu ................................................................. 9
2.6
Valtiovarainministeriö ........................................................................ 9
2.7
Kansallinen turvallisuusviranomaisorganisaatio ................................... 10
Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointiperusteet . 11
3.1
Viranomaisten toimintaa koskevat kansalliset tietoturvallisuusvaatimukset
.................................................................................................... 11
3.2
Kansainvälisiin tietoturvavelvoitteisiin perustuvat
tietoturvallisuusvaatimukset ............................................................. 12
3.3
Muut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet ja
vahvistettuun standardiin perustuvat vaatimukset .............................. 13
Arviointilaitoksen hyväksyminen ............................................................ 14
4.1
Vaatimukset tietoturvallisuuden arviointilaitokselle .............................. 14
4.1.1
Johtamis- ja tietoturvallisuuden hallintajärjestelmiä koskevien
vaatimusten soveltaminen tietojärjestelmiin ja
tietoliikennejärjestelyihin ................................................... 14
4.1.2
Toiminnallinen ja taloudellinen riippumattomuus................... 14
4.1.3
Laitoksen henkilökunnan pätevyys ja toiminnan edellyttämät
järjestelmät ..................................................................... 16
4.1.4
Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus
...................................................................................... 16
4.1.5
Asianmukaiset ohjeet toimintaa ja sen seurantaa varten ....... 18
4.1.6
Hyvää hallintoa koskevien säännösten noudattaminen........... 18
4.2
Arviointilaitokseksi hakeutuminen ..................................................... 21
4.2.1
Akkreditoinnin hakeminen.................................................. 21
4.2.2
Hyväksynnän hakeminen Viestintävirastolta ......................... 22
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
4 (44)
29.1.2015
5
6
7
Tietoturvallisuuden arviointimenettely ................................................... 23
5.1
Arviointityypit ................................................................................. 23
5.1.1
Tietoturvallisuuden hallintajärjestelmän arviointi .................. 23
5.1.2
Tietojenkäsittely-ympäristön arviointi .................................. 23
5.1.3
Tietojärjestelmän tai tietoliikennejärjestelyn arviointi ............ 24
5.1.4
Osittainen arviointi............................................................ 24
5.1.5
Esiarviointi ....................................................................... 24
5.2
Arviointikriteeristöt ja niiden soveltamisohjeet .................................... 24
5.2.1
Kansalliset tietoturvallisuusvaatimukset ............................... 24
5.2.2
Kansainväliset tietoturvallisuusvaatimukset.......................... 25
5.2.3
Vahvistettuun standardiin perustuvat
tietoturvallisuusvaatimukset............................................... 25
5.3
Arviointimenettelyn vaiheet .............................................................. 25
5.3.1
Toimeksianto ................................................................... 26
5.3.2
Arvioinnin perustaksi otettujen tietoturvallisuutta koskevien
vaatimusten toteutuminen ................................................. 27
5.3.3
Arvioinnissa sovellettava menettely .................................... 27
5.3.4
Arviointiraportti ja muut arviointiin liittyvät asiakirjat ............ 28
5.3.5
Todistuksen antaminen...................................................... 28
5.3.6
Arviointia koskevien tietojen julkaiseminen .......................... 29
5.3.7
Seurantatoimenpiteet ........................................................ 29
5.4
Arviointimenetelmät ........................................................................ 29
5.4.1
Yleisiä arviointitoiminnassa huomioitava periaatteita ............. 29
5.4.2
Hallinnolliselle todentamiselle asetettavat
vähimmäisvaatimukset ...................................................... 31
5.4.3
Tekniselle todentamiselle asetettavat vähimmäisvaatimukset . 32
5.5
Arviointilaitoksen suorittaman arvioinnin suhde viranomaishyväksyntään ja
viranomaisen antama todistus .......................................................... 34
Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi ...................... 35
6.1
Tietoturvallisuuden arvioinnin suorittaminen ja todistuksen antaminen .. 36
6.2
Käyttöönoton jälkeinen seuranta ja laitoksen ilmoitusvelvollisuus .......... 36
Arviointilaitoksen valvonta ja laadunhallinta .......................................... 37
7.1
Arviointilaitosten ohjaus ja valvonta .................................................. 37
7.1.1
Hyväksymispäätös ja sen valvonta ...................................... 37
7.1.2
Viestintäviraston tarkastus- ja tiedonsaantioikeus ................. 37
7.1.3
Arviointilaitoksen hyväksymisen peruuttaminen .................... 38
7.2
Arviointilaitoksen tiedonanto- ja ilmoitusvelvollisuus............................ 38
8
Ohjeen voimaantulo................................................................................ 40
9
LIITTEET ................................................................................................. 40
Liite 1. Tietoturvallisuuden arviointitoimintaa ohjaavat keskeiset normit...... 41
Liite 2. Arviointiraporttimalli .......................................................................... 44
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
5 (44)
Ohje
29.1.2015
1 Johdanto
1.1 Ohjeen tarkoitus ja soveltamisala
Tässä ohjeessa kuvataan tietoturvallisuuden arviointilaitoksen rooli ja
tehtävät tietoturvallisuuden arviointitoiminnassa. Ohjeessa kuvataan
arviointilaitosten toimintaa koskevat vaatimukset ja tietoturvallisuuden
arviointia
koskeva
menettely.
Hyväksytyn
tietoturvallisuuden
arviointilaitoksen on aina tunnettava sen toimintaan liittyvä voimassa oleva
lainsäädäntö ja muut toimintaa kokevat vaatimukset. Tätä ohjeetta
sovelletaan
myös
tietoturvallisuuden
arviointilaitosten
hyväksymismenettelyssä.
1.2 Määritelmät
Akkreditointi arviointielimen pätevyyden toteaminen yhdenmukaisten
kansainvälisten tai eurooppalaisten arviointiperusteiden mukaisesti.
Arvioinnin
kohde
tietojärjestelmä,
tietoliikennejärjestely
taikka
tietojenkäsittely-ympäristö tai hallintajärjestelmä, jossa salassa pidettävää
tietoa käsitellään
Arviointilaitoslaki
(22.12.2011/1405)
laki
tietoturvallisuuden
arviointilaitoksista
ISO
17021
standardi
SFS-EN
ISO/IEC
17021:2011
Vaatimustenmukaisuuden arviointi. Vaatimukset johtamisjärjestelmiä
auditoiville ja sertifioiville elimille. Conformity assessment. Requirements
for bodies providing audit and certification of management systems
ISO 27006 standardi ISO/IEC 27006:2011 Information technology Security techniques - Requirements for bodies providing audit and
certification of information security management systems
Julkisuuslaki laki viranomaisten toiminnan julkisuudesta (21.5.1999/621)
Julkisuusasetus asetus viranomaisten toiminnan julkisuudesta ja hyvästä
tiedonhallintatavasta (12.11.1999/1030)
Tietojärjestelmä tietojenkäsittelylaitteista, ohjelmistoista
tietojenkäsittelystä koostuva kokonaisjärjestely
ja
muusta
Tietoliikennejärjestely
tiedonsiirtoverkosta,
tiedonsiirtolaitteista,
ohjelmistoista ja muista tietojenkäsittelystä koostuvista järjestelyistä
muodostuva järjestelmä
Tietoturvallisuuden
arviointilaitos
Viestintäviraston
hyväksymä
elinkeinonharjoittaja tai palvelutehtäviä julkishallinnolle tarjoava yksikkö,
joka toimeksiannosta arvioi tietoturvallisuustason
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
6 (44)
Ohje
29.1.2015
Tietoturvallisuuden arviointikriteeristö vaatimuskriteeristö, jota sovelletaan
tietoturvallisuuden arvioinnissa ja joihin arviointilaitos voi hakea
akkreditointia ja Viestintäviraston hyväksyntää
Tietoturvallisuuden
arviointiperuste
Arvioinnin
perustaksi
otetut
arviointilaitoslain 10 §:n mukaiset tietoturvallisuutta koskevat vaatimukset
Tietoturvallisuus tietojen salassapitovelvollisuuden ja käyttörajoitusten
noudattamiseksi sekä tietojen saatavuuden, eheyden ja käytettävyyden
varmistamiseksi toteutettavat hallinnolliset, tekniset ja muut toimenpiteet
ja järjestelyt
Tietoturvallisuusasetus
valtioneuvoston
valtionhallinnossa (1.7.2010/681)
asetus
tietoturvallisuudesta
Valtionhallinnon viranomainen valtion hallintoviranomainen, muu valtion
virasto tai laitos taikka tuomioistuin tai lainkäyttöviranomainen
Viranomaishyväksyntä
Tietojärjestelmää,
tietoliikennejärjestelyä
tai
tietojenkäsittely-ympäristöä
koskeva
toimivaltaisen
turvallisuusviranomaisen virallinen hyväksyntä
1.3 Tietoturvallisuuden arviointitoiminnan tarkoitus
Tietoturvallisuuden arviointi on väline sen toteamiseksi, täyttääkö
arvioinnin kohde tietoturvallisuutta koskevat vaatimukset. Arvioinnin
kohteena
voi
olla
tietojenkäsittely-ympäristö
ja
sen
toteutus,
tietojärjestelmä tai tietoliikennejärjestely taikka tietoturvallisuuden
hallintajärjestelmä. Mikäli arvioinnin tavoitteena on arviointilaitoksen
antaman todistuksen saaminen ja viranomaishyväksynnän saavuttaminen,
tietoturvallisuuden arviointimenettelyn avulla
pyritään hankkimaan
varmuus ja luottamus siitä, että tietoturvallisuudelle asetetut vaatimukset
täyttyvät. Organisaation tietoturvallisuutta kehitettäessä arvioinnin
tavoitteena
voi
olla
myös
sen
selvittäminen,
miltä
osin
tietoturvallisuusvaatimukset täyttyvät.
1.3.1 Viranomaisten yleiset tietoturvallisuusvaatimukset
Valtionhallinnon
viranomaisen
on
suunniteltava
toimintansa
tietoturvallisuus hyvän tiedonhallintatavan mukaisesti ja toteutettava
tietoturvallisuusasetuksen edellyttämät toimenpiteet tietoturvallisuuden
perustason toteuttamiseksi. Viranomaisten on suunniteltava ja toteutettava
tietoturvallisuustoimenpiteet siten, että ne kattavat asiakirjan kaikki
käsittelyvaiheet.
Suunnittelussa
on
pidettävä
huolta
siitä,
että
tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun
tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta.
Tietoturvallisuusasetus edellyttää, että valtionhallinnon viranomainen
toteuttaa tietoturvallisuuden perustason vaatimukset1 1.10.2013 mennessä
1
Tietoturvallisuusasetus 2 luku Yleiset tietoturvallisuusvaatimukset
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
7 (44)
29.1.2015
ja luokiteltuja tietoja koskevat käsittelyvaatimuksen viiden
kuluessa siitä, kun viranomainen on tehnyt luokittelupäätöksen.
vuoden
1.3.2 Viranomaisten tietojärjestelmien ja luokiteltujen asiakirjojen käsittelyympäristöjen arviointi
Tietoturvallisuuden arviointi on keino viranomaisille varmistua siitä, että
sen
määräämisvallassa
olevat
ja
hankittavaksi
suunnittelemat
tietojärjestelmät täyttävät tietoturvallisuutta koskevat vaatimukset.
Arvioinnin avulla voidaan myös todentaa luokiteltujen tietojen käsittelyä
koskevien vaatimusten täyttyminen tietyssä tiedonkäsittely-ympäristössä.
Viranomaisten
tietojärjestelmiin
liittyvien
tietoturvallisuuden
arviointipalvelujen
käyttämisestä
säädetään
viranomaisten
tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annetussa
laissa2. Tietoturvallisuuden arvioinnilla viranomainen voi selvittää,
täyttääkö sen käytössä olevat tietojärjestelmät kansallisen lain mukaiset
vaatimukset tai silloin, kun järjestelmässä käsitellään kansainvälistä
luokiteltua
tietoa,
kansainväliset
tietoturvallisuusvaatimukset.
Lain
tarkoituksena on muun muassa varmistaa, että valtionhallinnon
viranomaiset käyttävät vain luotettavia ulkopuolisia tietoturvallisuuden
arviointipalveluja, ja 1.6.2015 lukien valtionhallinnon viranomaiset
voivatkin käyttää tietojärjestelmiensä arvioinnissa vain Viestintäviraston tai
sen hyväksymän arviointilaitoksen suorittamaa arviointia.
Viranomaisen hankintojen yhteydessä tietoturvallisuuden arviointia voidaan
käyttää ennen salassa pidettävän tiedon luovuttamista sen todentamiseen,
täyttääkö tarjouskilpailuun osallistuvan tarjoajan tai voittajaksi valitun
toimittajan tietojenkäsittely-ympäristö vaaditun tietoturvallisuuden tason.
Arviointia
voidaan
siten
hyödyntää
tietojärjestelmäja
tietoliikennejärjestelyhankintojen ohella myös muissa hankinnoissa, joiden
kilpailuttamisen yhteydessä tai sopimuskaudella käsitellään viranomaisen
salassa pidettävää tietoa. Tietoturvallisuuden vaatimuksenmukaisuuden
todentamista
voidaan
käyttää
esimerkiksi
puolustusja
turvallisuushankinnoissa, joissa tietoturvallisuuteen liittyvillä vaatimuksilla
voi olla olennainen merkitys hankinnan toteuttamisessa.
1.3.3 Yritysturvallisuuden edistäminen ja kehittäminen
Tietoturvallisuuden arviointimenettely antaa yrityksille mahdollisuuden
osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan
arvioinnin avulla. Vaikka yrityksiä koskevan turvallisuusselvityksen
laatiminen kuuluu viranomaiselle, voivat yritykset käyttää arviointilaitoksen
suorittamaa tietoturvallisuuden arviointia varautuessaan kansainvälisiin
hankintakilpailuihin sekä julkisiin puolustus- tai turvallisuushankintaa
koskevaan tarjouskilpailuun, joissa edellytetään viranomaisen laatimaa
turvallisuusselvitystä3.
2
22.12.2011/1406
Turvallisuusviranomaisen suorittama yhteisöturvallisuusselvitys voidaan tehdä, kun
elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa, osallistuu
3
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
8 (44)
29.1.2015
Yritys voi käyttää esimerkiksi Kansallista turvallisuusauditointikriteeristöä
(KATAKRI) tietoturvallisuuden kehittämisen keinona. Arviointi voidaan
silloin toteuttaa myös säännöllisin väliajoin tai arvioinnin toimeksiantajan
niin
halutessa
aina
erityisen
tarpeen
ilmetessä
esimerkiksi
organisaatiomuutosten yhteydessä.
2 Tietoturvallisuustoiminnan organisointi ja vastuut
2.1 Arvioinnin toimeksiantaja
Arvioinnin toimeksiantaja on taho, jonka aloitteesta arviointilaitoksen
suorittama arviointi käynnistyy eli toimeksiantaja on arviointilaitoksen
asiakas. Viranomaisen tietojärjestelmää koskevassa arvioinnissa arvioinnin
toimeksiantajana on aina viranomainen, jonka määräämisvallassa
järjestelmä on tai joka suunnittelee arvioinnin kohteena olevan
järjestelmän hankintaa. Toimeksiantajana voi olla myös viranomaisen
valtuuttama taho, joka on viranomaisen lukuun hankintoja tekevä taikka
tietojenkäsittely- ja tietoliikennepalveluja tuottava tai niiden järjestämiseen
liittyviä palvelutehtäviä hoitava taho.
Arvioinnin toimeksiantaja vastaa arvioinnin tavoitteiden määrittämisestä,
arviointiperusteena käytettävän arviointikriteeristön ja sovellettavan
suojaustason valinnasta sekä arvioinnin kohteen määrittelystä yhteistyössä
arviointilaitoksen kanssa.
2.2 Salassa pidettävää tietoa käsittelevä taho
Salassa pidettävää tietoa käsittelevä taho voi olla viranomainen tai sen
toimeksiannosta tietojenkäsittelytehtävää hoitava taho. Salassa pidettävää
tietoa käsittelevä taho vastaa tietoturvallisuusvaatimusten noudattamisesta
ja tietoturvallisuustoimenpiteiden toteuttamisesta arvioinnin kohteessa.
2.3 Tietoturvallisuuden arviointilaitos
Tietoturvallisuuden arviointilaitos arvioi toimeksiannosta arvioinnin kohteen
tietoturvallisuustason. Arviointilaitoksen tulee arvioinnissa selvittää, onko
arvioinnin kohteen toiminnassa asianmukaisella tavalla toteutettu ne
tietoturvallisuutta koskevat vaatimukset, jotka ovat otettu arvioinnin
perustaksi. Arviointilaitos voi myös antaa arvioinnin kohteelle todistuksen
sen osoittamiseksi, että arvioinnin kohteen toiminta ja toimitilat täyttävät
ne tietoturvallisuusvaatimukset, jotka ovat otettu arvioinnin perustaksi.
tällaista sopimusta edeltävään tarjouskilpailuun tai toimii tällaisen elinkeinon harjoittajan
alihankkijana. Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jonka toisena
osapuolena on toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka
kansainvälinen järjestö tai toimielin ja kun tarjouskilpailuun osallistuminen tai sopimuksen
toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon.
Yhteisöturvallisuusselvitys voidaan tehdä myös silloin, kun elinkeinonharjoittaja osallistuu
julkisista puolustus- ja turvallisuushankinnoista annetussa laissa (1531/2011) tarkoitettuun
tarjouskilpailuun tarjoajana tai alihankkijana ja saa, laatii tai muutoin käsittelee
tarjouskilpailun tai hankinnan toteuttamiseksi luokiteltuja tietoja (laki kansainvälisistä
tietoturvallisuusvelvoitteista 1 §).
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
9 (44)
29.1.2015
Arviointilaitoksen
tulee
toiminnassaan
noudattaa
lainsäädännössä,
akkreditoinnissa sovellettavissa standardeissa, Viestintäviraston ohjeissa ja
arviointilaitoksen hyväksymispäätöksessä asetettuja vaatimuksia.
2.4 Viestintävirasto
Viestintävirasto toimii Suomen määrättynä turvallisuusviranomaisena ja
kansallisena tietoturvaviranomaisena (NCSA, National Communications
Security Authority), joka vastaa turvaluokitellun aineiston sähköiseen
tiedonsiirtoon ja -käsittelyyn liittyvistä turvallisuusasioista. Viestintävirasto
vastaa muun muassa salausteknisen aineiston jakeluverkon hallinnoinnista,
salaustuotteiden hyväksynnästä turvaluokitellun tiedon suojaamiseksi
Suomessa, kansainvälistä turvallisuusluokiteltua tietoa käsittelevien
tietojärjestelmien hyväksynnästä sekä kansallisen hajasäteilytoiminnan
koordinoinnista ja ohjauksesta.
Viestintävirasto
toimii
myös
viranomaisten
tietojärjestelmien
ja
tietoliikennejärjestelyjen
hyväksyntäviranomaisena
sekä
vastaa
tietoturvallisuuden arviointilaitosten hyväksymisestä, ohjaamisesta ja
valvonnasta.
2.5 FINAS-akkreditointipalvelu
Mittatekniikan
keskuksen
akkreditointiyksikkö
eli
FINASakkreditointipalvelu toimii Suomessa kansallisena akkreditointielimenä ja
vastaa akkreditoinnista eli arviointielinten pätevyyden toteamisesta
yhdenmukaisten
arviointiperusteiden
mukaisesti.
Akkreditoinnin
tarkoituksena on varmistaa vaatimustenmukaisuuden arviointipalvelujen
luotettavuus ja kansainvälinen hyväksyttävyys.
FINAS-akkreditointipalvelu
arvioi
osana
arviointilaitoksen
hyväksymismenettelyä tietoturvallisuuden arviointilaitoksen toiminnan
riippumattomuuden, henkilökunnan koulutuksen ja kokemuksen sekä sen,
että laitoksella on toiminnan edellyttämät laitteet, välineet ja järjestelmät.
FINAS-akkreditointipalvelu vastaa
myös
akkreditoimiensa
laitosten
pätevyyden seurannasta.
2.6 Valtiovarainministeriö
Valtiovarainministeriö ohjaa ja yhteen sovittaa julkishallinnon ja erityisesti
valtionhallinnon
tietoturvallisuuden
kehittämistä.
Ohjausja
yhteensovittamisroolinsa toteuttamiseksi valtiovarainministeriö asettaa ja
ylläpitää
toimialallaan
yhteistyön
ohjaamiseen,
kehittämiseen
ja
koordinaatioon tarvittavat toimielimet. Valtiovarainministeriön asettama
Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon
tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI
käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden linjaukset.
Valtionvarainministeriö voi pyytää valtionhallinnon tietoturvallisuudesta
annettujen säännösten täytäntöönpanon seuraamiseksi sekä niiden
kehittämiseksi Viestintävirastolta selvityksiä valtionhallinnon viranomaisten
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
10 (44)
29.1.2015
tietojärjestelmien ja tietoliikennejärjestelyjen yleisestä tietoturvallisuuden
tasosta.
2.7 Kansallinen turvallisuusviranomaisorganisaatio
Ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden
toteuttamisessa
Suomen
kansallisena
turvallisuusviranomaisena.
Kansallisen turvallisuusviranomaisen tehtävänä on erityisesti ohjata ja
valvoa, että ulkomailta Suomeen luovutetut niin sanotut erityissuojattavat
tietoaineistot suojataan ja niitä käsitellään asianmukaisesti. Kansallinen
turvallisuusviranomainen
vastaa
kansainvälisten
tietoturvallisuusvelvoitteiden
toteuttamista
koskevien
ohjeiden
antamisesta.
Puolustusministeriö, pääesikunta, suojelupoliisi ja Viestintävirasto toimivat
kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä
turvallisuusviranomaisina
ja
huolehtivat
henkilöiden
ja
elinkeinonharjoittajien luotettavuuden selvittämisestä. Puolustusministeriö,
pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen
asiantuntijoina henkilöstö-, yhteisö- ja toimitilaturvallisuutta koskevissa
asioissa sekä Viestintävirasto tietojärjestelmien ja tietoliikenteen
tietoturvallisuutta koskevissa asioissa.
Kuva 1. Tietoturvallisuuteen liittyvät toimijat
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
11 (44)
Ohje
29.1.2015
3 Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden
arviointiperusteet
Tietoturvallisuuden arviointiperusteilla tarkoitetaan niitä tietoturvallisuutta
koskevia vaatimuksia, joiden perusteella tietoturvallisuuden arviointi
suoritetaan. Näitä arviointiperusteita ovat
1) lailla tai asetuksella säädettyjä viranomaisen toimintaa koskevia
tietoturvallisuusvaatimuksia
ja
valtiovarainministeriön
tietoturvallisuutta koskevia ohjeita;
2) kansainvälisistä
tietoturvallisuusvelvoitteista
annetussa
laissa
tarkoitetun
kansallisen
turvallisuusviranomaisen
antamia
kansainvälisten
tietoturvavelvoitteiden
toteuttamista
koskevia
ohjeita;
3) Euroopan unionin tai muun kansainvälisen toimielimen antamia
tietoturvallisuutta koskevia ohjeita;
4) julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta
koskevia säännöksiä, määräyksiä tai ohjeita; ja
5) vahvistettuun
vaatimuksia.
standardiin
sisältyviä
tietoturvallisuutta
koskevia
3.1 Viranomaisten toimintaa koskevat kansalliset
tietoturvallisuusvaatimukset
Tietoturvallisuuden arviointi voi perustua kansallisessa lainsäädännössä eli
Suomen lailla tai asetuksella säädettyihin viranomaisen toimintaa koskeviin
tietoturvallisuusvaatimuksiin ja valtiovarainministeriön tietoturvallisuutta
koskeviin ohjeisiin. Suomalaisten viranomaisten asiakirjojen salassapidosta
ja
hyvästä
tiedonhallintatavasta
säädetään
julkisuuslaissa
ja
julkisuusasetuksessa.
Hyvän
tiedonhallintatavan
toteuttamiseksi
viranomaisten on huolehdittava asiakirjojen ja tietojärjestelmien sekä niihin
liittyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja
suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista
tekijöistä. Viranomaisen on hyvän tiedonhallintatavan toteuttamiseksi myös
selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun
ja suojaan sekä tietojärjestelmien turvallisuuteen vaikuttavat uhat sekä
niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden
kustannukset sekä muut vaikutukset. Lisäksi viranomaisen on selvitysten
perusteella arvioitava ja toteutettava tarvittavat toimenpiteet hyvän
tiedonhallintatavan toteuttamiseksi.4
Tietoturvallisuusasetuksessa säädetään valtionhallinnon viranomaisten
asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista
sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista
asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista eli
4
Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta
(12.11.1999/1030)
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
12 (44)
29.1.2015
suojaustasojen mukaisista käsittelyvaatimuksista. Asetus edellyttää, että
tietoturvallisuustoimenpiteet suunnitellaan ja toteutetaan siten, että ne
kattavat asiakirjan kaikki käsittelyvaiheet niiden laatimisesta tai
vastaanottamisesta arkistointiin tai hävittämiseen mukaan lukien asiakirjan
luovuttaminen ja siirtäminen sekä käsittelyn valvonta. Suunnittelussa on
myös huolehdittava siitä, että tietojenkäsittelyä koskevia velvoitteita
noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan
viranomaisen toimeksiannosta eli kun yksityinen taho käsittelee
viranomaisen asiakirjoja.
Tietoturvallisuusasetuksen
mukaisia
vaatimuksia
täsmennetään
valtiovarainministeriön ohjeilla, jotka koskevat tietoturvallisuusasetuksen
täytäntöönpanoa.
Tietoturvallisuudesta
valtionhallinnossa
annetun
asetuksen täytäntöönpanoa koskevaa koskevia määritettyjä ohjeita (VAHTI
2/2010, VAHTI 3/2010, VAHTI 3/2012, VAHTI 2/2013) sovelletaan
tietoturvallisuuden arviointiperusteena silloin, kun arvioinnin kohde
käsittelee Suomen viranomaisen salassa pidettävää tietoa eli kun
salassapito perustuu julkisuuslakiin.
3.2 Kansainvälisiin tietoturvavelvoitteisiin perustuvat
tietoturvallisuusvaatimukset
Kun taho, jolla on määräysvalta salassa pidettävään tietoon, on toisen
valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka
kansainvälinen
järjestö
tai
toimielin
ja
Suomella
on
tietoturvallisuusvaltiosopimus kyseisen toisen valtion tai toimielimen
kanssa, sovelletaan tiedon salassapitoon ja tietoturvallisuustoimenpiteisiin
lakia kansainvälisistä tietoturvallisuusvelvoitteista5. Tiedon käsittelyyn
sovelletaan tällöin kansallisten tietoturvallisuusvaatimusten lisäksi aina
soveltuvaan
valtiosopimukseen
tai
muuhun
Suomea
koskevaan
velvoitteeseen eli kansainväliseen tietoturvallisuusvelvoitteeseen sisältyviä
määräyksiä6.
Erityissuojattavaa
tietoaineistoa
eli
kansainvälisen
tietoturvallisuusvelvoitteen mukaisesti turvallisuusluokiteltuja asiakirjoja ja
materiaaleja
luotaessa,
kopioitaessa,
siirrettäessä,
jaettaessa,
säilytettäessä, hävitettäessä tai muutoin käsiteltäessä on pidettävä huolta,
että tietoaineiston suojaamisesta voidaan huolehtia tietoaineiston
turvallisuusluokkaa vastaavalla tavalla. Erityissuojattava tietoaineisto on
säilytettävä tiloissa, joissa asiakirjojen ja niihin sisältyvien tietojen
suojaamisesta voidaan huolehtia valtiosopimuksessa edellytetyllä tavalla.
5
Laki 24.6.2004/588
Kansainvälisellä tietoturvallisuusvelvoitteella sellaista Suomea sitovaan kansainväliseen
sopimukseen sisältyvää määräystä sekä sellaista muuta Suomea koskevaa velvoitetta, jota
Suomen on noudatettava ja joka koskee erityissuojattavan aineiston suojaamiseksi tarvittavia
toimenpiteitä. Tällaisia velvoitteita ovat Suomea sitovien turvallisuusluokitellun tiedon
suojaamista koskevien valtiosopimusten ohella muun muassa Euroopan neuvoston päätös
turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi (Neuvoston päätös
31.3.2011 (2011/292/EU). Suomea sitovat valtiosopimukset [linkki].
6
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
13 (44)
29.1.2015
Kansainvälisiin
tietoturvallisuusvelvoitteisiin
liittyvien
tietoturvallisuusvaatimusten
todentamisessa
tietoturvallisuuden
arviointiperusteena käytetään kansallista turvallisuusauditointikriteeristöä
(KATAKRI). Kyseistä kriteeristöä siis käytetään vaatimustasona niissä
arvioinneissa, joiden tarkoituksena on todentaa, täyttyvätkö kansainväliset
tietoturvallisuusvaatimukset. Erityissuojattavan tietoaineiston käsittely
edellyttää viranomaishyväksyntää (katso kappale 5.8) ja kansainvälisiin
tietoturvallisuusvelvoitteisiin liittyvien turvallisuusselvitysten tekemisestä
vastaa aina toimivaltainen turvallisuusviranomainen.
Kuva 2. Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointi
3.3 Muut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet ja
vahvistettuun standardiin perustuvat vaatimukset
Tietoturvallisuuden arviointi voi perustua myös muihin kuin lainsäädännöstä
johtuviin vaatimuksiin. Tietoturvallisuustasoa osoittavana perustana
voidaan käyttää julkaistuja ja yleisesti tai alueellisesti sovellettuja
tietoturvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita taikka
vahvistettuun
standardiin
sisältyviä
tietoturvallisuutta
koskevia
vaatimuksia.
Tällainen
vahvistettu
standardi
on
esimerkiksi
tietoturvallisuuden hallintajärjestelmiä koskeva kansainvälinen standardi
ISO 270017, joka toimii mallina tietoturvallisuuden hallintajärjestelmän
kehittämiselle, toteuttamiselle, käyttämiselle, valvomiselle, katselmoinnille,
ylläpitämiselle ja parantamiselle.
7
ISO/IEC 27001:2005 Information technology. Security techniques. Information security
management systems. Requirements
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
14 (44)
29.1.2015
4 Arviointilaitoksen hyväksyminen
4.1 Vaatimukset tietoturvallisuuden arviointilaitokselle
Tietoturvallisuuden arviointilaitoksen hyväksymisen edellytyksenä on, että
laitos täyttää arviointilaitoslain 5 §:n mukaiset hyväksymiskriteerit.
Arviointilaitoksen
akkreditoinnissa
sovelletaan
tätä
ohjetta
sekä
standardeiden ISO 17021 ja ISO 27006 vaatimuksia. Kyseisissä
standardeissa
yksilöidään
vaatimukset
tietoturvallisuuden
johtamisjärjestelmiä auditoiville ja sertifioiville elimille.
4.1.1 Johtamis- ja tietoturvallisuuden hallintajärjestelmiä koskevien vaatimusten
soveltaminen tietojärjestelmiin ja tietoliikennejärjestelyihin
Akkreditointimenettelyssä sovellettavat standardit ISO 17021 ja ISO 27006
koskevat johtamisjärjestelmien ja tietoturvallisuuden hallintajärjestelmien
sertifiointia. Tietoturvallisuuden arviointilaitokset arvioivat kuitenkin
hallintajärjestelmien
myös
yksittäisiä
tietojärjestelmiä
ja
tietoliikennejärjestelyjä. Niiltä osin kuin näissä standardeissa asetetaan
vaatimuksia
koskien
johtamisjärjestelmää,
hallintajärjestelmä
(management
system)
tai
tietoturvallisuuden
hallintajärjestelmää
(information security management system, ISMS), sovelletaan näitä
vaatimuksia
soveltuvin
osin
myös
tietojärjestelmään
ja
tietoliikennejärjestelyyn. Tällaisia vaatimuksia ovat esimerkiksi vaatimukset
koskien konsultointia ja puolueettomuuden hallintaa8, pätevyyttä9,
muutoksista ilmoittamista10 ja auditointiprosessia11.
4.1.2 Toiminnallinen ja taloudellinen riippumattomuus
Tietoturvallisuuden arviointilaitoksen tulee olla
toiminnallisesti ja
taloudellisesti
riippumaton
arvioinnin
kohteena
olevista
tahoista.
Puolueettomuutta koskevat periaatteet ja puolueettomuuden hallintaa
koskevat
vaatimukset
ovat
määritelty
arviointilaitosten
akkreditointimenettelyssä sovellettavissa standardeissa ISO 17021 ja ISO
27006,
jotka
sisältävät
muun
muassa
vaatimuksia
liittyen
hallintajärjestelmien
konsultointitoimintaan.
Arviointilaitoksen
on
noudatettava myös viranomaistoimintaa koskevia hyvän hallinnon
vaatimuksia. Näihin kuuluvat muun muassa esteellisyyssäännökset, jotka
täydentävät arviointilaitoksen riippumattomuusvaatimuksia.
Tietoturvallisuuden arviointilaitoksen riippumattomuus edellyttää, että
laitos
ei
tarjoa
sellaisia
konsultointipalveluja,
jotka
koskevat
tietoturvallisuuden hallintajärjestelmiä eikä myöskään konsultointia koskien
8
Esimerkiksi ISO 17021 3.3 Johtamisjärjestelmäkonsultointi, 5.2 Puolueettomuuden hallinta,
ISO 27006 5.2 Management of impartiality
9
Esimerkiksi ISO 17021 7.1 Johdon ja henkilöstön pätevyys, ISO 27006 7 Resource
requirements
10
ISO 17021 8.6.3 Asiakkaan tekemistä muutoksista tiedottaminen
11
Esimerkiksi ISO 17021 9.1.2 Auditointisuunnitelma, ISO 17021 9.1.4 Auditointiajan
määrittäminen, ISO 9.1.6 Auditointiryhmien tehtävien viestiminen, ISO 27006 9.1 General
requirements, ISO 27006 9.2 Inital audit and certification.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
15 (44)
29.1.2015
tietojärjestelmiä tai tietoliikennejärjestelmiä. Riippumattomuutta koskevat
vaatimukset koskevat arviointilaitoksen toimintaa, eikä riippumattomuuden
turvaamiseksi siten riitä pelkästään se, että riippumattomuus toteutuu
yksittäisen arviointilaitoksen lukuun työskentelevän henkilön kohdalla.
Arviointilaitoksen tulee myös olla erillinen ja riippumaton sellaisista
tahoista, jotka suorittavat arvioinnin kohteessa tietoturvallisuuden
hallintajärjestelmän, tietojärjestelmän tai tietoliikennejärjestelyn sisäisiä
auditointeja tai arviointeja. Laitoksen on puolueettomuuden hallintaa
koskevien vaatimusten mukaisesti aina tunnistettava, analysoitava ja
dokumentoitava
mahdolliset
arviointitoiminnan
eturistiriidat
ja
puolueettomuutta uhkaavat tekijät.
Akkreditointistandardi ISO 27006:ssa on lueteltu toimintoja, jotka ovat
sallittuja arviointilaitoksille ilman, että niiden katsottaisiin olevan
konsultointia tai rikkovan puolueettomuutta koskevia vaatimuksia.
Tietoturvallisuuden arviointilaitos voi järjestää sen pätevyysalueeseen
liittyvää koulutusta tai laitoksen lukuun toimiva henkilö voi osallistua
luennoitsijana tällaiseen koulutukseen, kun koulutuksen sisältö koostuu
yleisestä informaatiosta eikä sisällä yritys- tai asiakaskohtaista neuvontaa.
Koulutuksen tulee myös olla julkisesti saatavilla ja avoin kaikille halukkaille
osallistujille.
Lisäksi toiminnot, joiden tavoitteena on määritellä valmius arviointiin, ovat
tietyin edellytyksin sallittuja arviointilaitoksille. Auditointivalmiuden
selvittäminen ei saa johtaa suosituksiin tai neuvontaan, jotka voidaan
katsoa konsultoinniksi tai uhkaavan puolueettomuutta, ja arviointilaitoksen
tulee pystyä osoittamaan, etteivät tällaiset toiminnot ole muutenkaan
ristiriidassa puolueettomuutta koskevien vaatimusten kanssa. Valmiuden
määrittämisellä ei voida perustella arviointiajan lyhentämistä vaan sen
tarkoituksena on ainoastaan selvittää, onko arvioinnin kohteen kypsyystaso
riittävä
arviointiin.
Auditointivalmiuden
selvittämiseksi
tehtävän
esiarvioinnin osalta katso kohta 5.1.5.
Arviointilaitos voi arvioinnin yhteydessä yksilöidä ja osoittaa arvioinnin
kohteelle mahdollisuuksia parantaa sen toimintaa tai esittää muita
huomioita, joiden tarkoituksena on arvioinnin kohteen toiminnan
kehittäminen, kun tällaiset huomiot tulevat esille arvioinnin ja
arviointikäyntien yhteydessä. Arviointilaitoksen tulee kuitenkin pidättyä
tiettyjen
konkreettisten
ratkaisuehdotusten
tarjoamisesta.
Arviointilaitoksen neuvontavelvollisuuden osalta katso kohta 4.1.6.1.3.
Riippumattomuusvaatimusten lisäksi arviointilaitoksen on toiminnassaan
noudatettava hallintolain mukaisia esteellisyyssäännöksiä, jotka ovat
luonteeltaan
henkilökohtaisia
eli
tiettyä
arviointilaitoksen
lukuun
työskentelevää
henkilöä
koskevia
esteellisyysperusteita.
Nämä
esteellisyysvaatimukset kohdistuvat kaikkiin arviointilaitoksen lukuun
työskenteleviin henkilöihin riippumatta siitä, ovatko nämä henkilöt
työsopimussuhteen perusteella laitoksen palveluksessa vai perustuuko
työskentely esimerkiksi toimeksiantosopimukseen.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
16 (44)
29.1.2015
4.1.3 Laitoksen henkilökunnan pätevyys ja toiminnan edellyttämät järjestelmät
Tietoturvallisuuden arviointilaitoksen tulee standardien ISO 17021 ja ISO
27006 mukaisesti varmistua siitä, että sillä on käytössään jatkuvasti
sellaiset henkilö- ja muut resurssit, joilla turvataan luotettavan ja pätevän
tietoturvallisuuden arviointitehtävän suorittaminen. Pätevyys edellyttää
todennettua hyvää teknistä osaamista ja riittävän laaja-alaista kokemusta
arviointitoimintaan kuuluvissa tehtävissä, mistä osoituksena voi olla
esimerkiksi tietoturvallisuusalaan liittyvä koulutus ja riittävä työkokemus
arviointitoiminnassa.
Tietty
koulutusohjelma
tai
tutkinto
ei
ole
ehdoton
vaatimus
arviointilaitoksen henkilöstölle. Pätevyyden arvioinnissa otetaan huomioon
kaikki arviointilaitokseksi hakevan esittämä näyttö, jonka perusteella
arvioidaan, täyttyvätkö resurssivaatimukset. Arviointilaitoksella on oltava
käytettävissään myös toiminnan edellyttämät laitteet, välineet, menetelmät
ja järjestelmät, jotka ovat tarpeen tietoturvallisuuden arviointitehtävän
suorittamiseen.
Pätevyyden arvioinnissa arviointilaitoksen tulee uskottavasti osoittaa, että
sillä on riittävät hallinnolliset ja tekniset todennusmenetelmät haettavaan
pätevyysalueeseen liittyvien arviointien suorittamiseksi. Kyky tehdä
KATAKRI- ja VAHTI-arviointeja on osoitettava kaikkien näihin kriteeristöihin
kuuluvien vaatimusten osalta, ja nämä menettelyt tulee käydä ilmi myös
arviointilaitoksen toimintaa koskevista ohjeista.
Osana pätevyyden arviointia arviointilaitoksen tulee osoittaa myös, että
sillä on käytössään arviointitoiminnan edellyttämät laitteet, välineet ja
järjestelmät. Arviointilaitoksella tulee olla käytössään sellaiset laitteet,
välineet ja järjestelmät, joilla voidaan suorittaa arviointitoimeksiannot sekä
suojata toimeksiantojen yhteydessä saatavat tiedot. Tietojenkäsittelyn
turvallisuutta koskevat vaatimukset todennetaan KATAKRI-kriteeristön
perusteella.
4.1.4 Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus
Tietoturvallisuuden
arviointilaitoksen
vastuuhenkilöiden
tulee
olla
luotettavaksi todettuja henkilöitä. Vastuuhenkilöiksi katsotaan laitoksen
kaupparekisteriotteessa ilmoitetut henkilöt ja laitoksen ylin johto12.
Arviointilaitos käsittelee arviointitoiminnan yhteydessä arvioinnin kohteiden
salassa pidettävää tietoa, ja laitoksella tulee olla kyky käsitellä tällaista
tietoa sille asetettujen suojausvaatimusten mukaisesti. Arviointilaitoksella
on oltava luotettavaksi arvioitu ja valvottu menetelmä, jonka avulla
laitoksen toimitilojen ja tietojenkäsittelyn turvallisuus varmistetaan.
Luottamuksellisen tiedon turvallista käsittelyä koskevat vaatimukset
todennetaan
Kansallisen
turvallisuusauditointikriteeristön
(KATAKRI)
kulloinkin voimassa olevan version avulla ja arviointilaitoksen on täytettävä
KATAKRI:n hallinnollista turvallisuutta, henkilöstöturvallisuutta, fyysistä
12
Henkilöt, jotka vastaavat ISO 17021 6.1.2 kohdan mukaisista tehtävistä.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
17 (44)
29.1.2015
turvallisuutta sekä tietoturvallisuutta koskevien osa-alueiden mukaiset
vaatimukset. Vaatimusten täyttäminen tarkoittaa käytännössä muun
muassa sitä, että laitos on määritellyt sen turvallisuustoimintaa koskevat
periaatteet, turvallisuusorganisaation sekä siihen liittyvät vastuut, sillä on
riittävät
menetelmät
riskien
tunnistamiseksi,
arvioimiseksi
ja
poikkeustilanteiden hallitsemiseksi. Laitoksen toimitilojen on puolestaan
täytettävä KATAKRI:ssa luetellut vaatimukset koskien aluetta, fyysisiä
rakenteita
ja
turvallisuusteknisiä
järjestelmiä.
Henkilöstöturvallisuusvaatimukset edellyttävät muun muassa sitä, että
arviointitoiminnassa käytetään vain sellaisia henkilöitä, jotka ovat antaneet
asianmukaiset
salassapitositoumukset
sekä
läpäisseet
riittävät
turvallisuusselvitykset13. Arviointilaitos voi toiminnassaan käyttää vain
sellaisia henkilöitä, joiden osalta turvallisuusselvitystä tehtäessä ei ole
tullut esiin mitään sen tarkoituksen kannalta merkityksellistä tietoa. Mikäli
turvallisuusselvityksen perusteella tulee esiin tietoja, on arviointilaitoksen
aina pyydettävä Viestintävirastolta etukäteinen kirjallinen lausunto
henkilöstövaatimusten täyttymisestä ennen kyseisen henkilön käyttämistä
arviointitoiminnassa.
Kun arviointilaitos hakee pätevyysalueekseen KATAKRI:a tai VAHTI:a,
sovelletaan sen omaan toimintaan lähtökohtaisesti yhtä suojaustasoa
korkeampaa vaatimustasoa, kuin mille laitos hakee hyväksyntää14. Jos
hyväksyntää haetaan esimerkiksi suojaustasolle IV, arviointilaitoksen
tietojenkäsittelyn turvallisuuden todentamisessa käytetään KATAKRI:n IIItason vaatimuksia. Kun pätevyysalue ei sisällä KATAKRI:a tai VAHTI:a,
tietojenkäsittelyn turvallisuus todennetaan käyttäen KATAKRI IV-tason
vaatimuksia.
Turvalliseen tiedonkäsittelyyn liittyen arviointilaitoksen tulee huomioida
tietojenkäsittelyssään myös akkreditointistandardien vaatimukset koskien
luottamuksellisuutta. Lisäksi arviointilaitoksen on varmistuttava siitä, että
tiedonkäsittelyvaatimuksia
noudatetaan
riippumatta
siitä,
kuka
arviointilaitoksen lukuun tekevä henkilö tai taho käsittelee salassa
pidettävää tietoa. Vaatimukset koskevat yhtä lailla omaa henkilöstöä kuin
tahoa,
joka
hoitaa
arviointiin
liittyviä
tehtäviä
esimerkiksi
toimeksiantosopimuksen perusteella.
13
Arviointilaitoksen on haettava toimintaan osallistuvista henkilöistä turvallisuusselvitys sen
perusteella, mitä salassa pidettävää tai turvallisuusluokiteltua tietoa arviointitoimintaan
osallistuva henkilö tulee käsittelemään. Turvaselvitysten osalta otetaan huomioon myös salassa
pidettävän tai turvallisuusluokiteltujen tietojen määrä.
14
Arviointilaitoksella tulee olla kyky käsitellä loppuasiakkaansa luokittelemaa tietoa sille
asetettujen suojausvaatimusten mukaisesti. Arviointilaitoksen arvioidessa esimerkiksi
loppuasiakkaansa IV-tason järjestelmää, tulee arviointilaitos saamaan arviointiprosessin aikana
asiakkaansa luokittelemaa ko. järjestelmää koskevaa tietoa (esimerkiksi verkkokuvat ja tiedot
kytkennöistä muihin järjestelmiin). Järjestelmien turvallisuustoteutuksiin liittyvät tiedot
luokitellaan eräissä tapauksissa pykälää korkeammalle, kuin mikä on korkein järjestelmässä
käsiteltävä tieto. Myös eri loppuasiakkaiden tiedoista koostuvan tietovarannon suojaustaso on
usein tulkittavissa kasautumisvaikutuksesta johtuen yksittäisten tietojen suojaustasoa
korkeammaksi.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
18 (44)
29.1.2015
4.1.5 Asianmukaiset ohjeet toimintaa ja sen seurantaa varten
Tietoturvallisuuden arviointilaitoksella tulee olla ja sen tulee ylläpitää
ohjeistusta koskien arviointitoimintaa ja toiminnan seurantaa. Ohjeistuksen
tulee ottaa huomioon arviointilaitostoimintaan liittyvät lakisääteiset ja muut
vaatimukset sekä tämän ohjeen sisältö. Lisäksi arviointilaitoksen
tietoturvallisuusohjeistuksen
on
täytettävä
KATAKRI:ssa
kuvatut
vaatimukset.
Arviointilaitoksen tulee varmistua siitä, että sen lukuun työskentelevät
henkilöt ja tahot saatetaan tietoisiksi tietoturvallisuuden arviointitoimintaan
liittyvistä vaatimuksista ja velvollisuuksista. Tämän varmistamiseksi
arviointilaitoksen ohjeistuksessa tulee ottaa kantaa esimerkiksi siihen,
miten laitos varmistuu siitä, että sen henkilöstö ja muut laitoksen lukuun
työskentelevät henkilöt ovat tietoisia arviointilaitoksen yleisestä ja
tietoturvallisuuteen liittyvästä ohjeistuksesta ja ymmärtävät ohjeistuksen
sisällön.
4.1.6 Hyvää hallintoa koskevien säännösten noudattaminen
Hyväksytty tietoturvallisuuden arviointilaitos hoitaa toiminnassaan julkista
hallintotehtävää, minkä vuoksi sen on arviointilaitoslaissa tarkoitettuja
tehtäviä suorittaessaan noudatettava hyvää hallintoa koskevia hallintolaissa
(434/2003), julkisuuslaissa ja kielilakia (423/2003) viranomaisvaatimuksia.
4.1.6.1 Hallintolaki
Hallintolaissa säädetään hyvän hallinnon perusteista, joita hyväksyttyjen
arviointilaitosten on noudatettava toiminnassaan. Hyvän hallinnon
perusteet ovat toimintaa koskevia yleisiä laadullisia vähimmäisvaatimuksia,
jotka arviointilaitoksen tulee huomioida toiminnassaan. Lisäksi jokaisen
arviointilaitoksen lukuun työskentelevän on omatoimisesti huomioitava
nämä vaatimukset yksittäisissä arvioinneissa.
Arviointilaitoksen on kohdeltava asiakkaitaan tasapuolisesti sekä käytettävä
toimivaltaansa lain mukaan hyväksyttäviin tarkoituksiin. Arviointilaitoksen
toiminnalta edellytetään muun muassa puolueettomuutta, tasapuolisuutta
ja luottamuksensuojaa. Arviointilaitoksen tulee toiminnassaan lisäksi
huomioida hallintolain menettelylliset oikeusperiaatteet, jotka koskevat
esteellisyyttä, asianosaisen eli arvioinnin toimeksiantajan ja arvioinnin
kohteen kuulemista ja perusteluvelvollisuutta liittyen arvioinnissa tehtyihin
havaintoihin ja johtopäätöksiin.
4.1.6.1.1 Hallinnon oikeusperiaatteet
Hallinnon
oikeusperiaatteilla
tarkoitetaan
yhdenvertaisuutta,
objektiivisuutta,
tarkoitussidonnaisuutta,
suhteellisuutta
ja
luottamuksensuojaa. Nämä periaatteet ovat osittain päällekkäisiä ISO
17021 standardin mukaisten periaatteiden kanssa.
Yhdenvertaisuudella tarkoitetaan sitä, että arviointilaitoksen on kohdeltava
kaikkia asiakkaitaan samanlaisissa tilanteissa samalla tavalla eli
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
19 (44)
29.1.2015
tasapuolisesti. Tarkoitussidonnaisuudella tarkoitetaan yleisesti ottaen
toiminnan hyväksyttäviä tarkoitusperiä ja kiellettyjen tarkoitusten
toteuttamisen välttämistä. Tarkoitussidonnaisuus pitää sisällään esimerkiksi
sen, että arviointitoiminnassa saatuja tietoja käytetään vain etukäteen
määriteltyihin ja hyväksyttyihin tarkoituksiin. Objektiivisuudella puolestaan
tarkoitetaan arviointitoiminnan yhteydessä muun muassa esitettyjen
näkemysten ja kannanottojen objektiivisuutta eli subjektiivisten asenteiden
poissulkemista. Lisäksi objektiivisuus edellyttää, että esitetyt kannanotot
vastaavat mahdollisimman pitkälle tosiasioita, mikä osaltaan edistää
arviointilaitoksen toimintaan kohdistuvaa luottamusta.
Arviointilaitoksen ja sen lukuun toimivien henkilöiden toiminnan on myös
oltava suhteellisuusperiaatteen mukaista eli laitoksen toimenpiteiden on
oltava oikeassa suhteessa tavoiteltuun päämäärään nähden. Tämä on
huomioitava erityisesti niissä tilanteissa, joissa arviointitehtävässä
käsitellään henkilötietoja tai yksityisyyden suojaan kuuluvia tietoja.
Tällaisia tietoja ei pääsääntöisesti tule käsitellä, ellei se ole välttämätöntä
tehtävän suorittamisen kannalta. Silloinkin tulee varmistua siitä, että
tietojen käsittely on lain mukaan mahdollista ja se tapahtuu lain
edellyttämällä tavalla.
Luottamuksensuoja liittyy oikeusvarmuuteen ja pitää sisällään erityisesti
vaatimuksen arviointitoiminnan johdonmukaisuudesta. Lisäksi se tarkoittaa
laitoksen tuottamien asiakirjojen ja niiden sisältämien tietojen julkista
luotettavuutta ja oikeellisuutta, kunnes ne nimenomaisesti osoitetaan
vääriksi.
Luottamusvaatimus
tarkoittaa
myös
perusteltua
arviointilaitostoimintaan kohdistuvaa odotusta siitä, että laitos toimii
ennakoitavissa olevalla tavalla ja arviointilaitoksen antamiin neuvoihin tai
muuhun informaatioon voi luottaa.
4.1.6.1.2 Palveluperiaate ja palvelun asianmukaisuus
Palveluperiaatteella tarkoitetaan sitä, että arviointilaitoksen asiakas saa
asianmukaisesti laitoksen tarjoamia palveluja. Palvelut on järjestettävä
asiakkaan näkökulmasta ja palveluiden on oltava laadultaan hyviä.
4.1.6.1.3 Neuvonta ja hyvän kielenkäytön vaatimus
Arviointilaitoksella
on
neuvontavelvollisuus
sen
pätevyysalueeseen
kuuluvien tietoturvallisuuden arviointitehtävien osalta. Laitoksen on
annettava asiakkailleen tarpeen mukaan arviointipalveluihin liittyvää
neuvontaa
sekä
vastattava
palveluja
koskeviin
kysymyksiin
ja
tiedusteluihin. Neuvontavelvollisuus kattaa lähinnä arviointitoimeksiantoa
koskevat menettelyneuvot, eikä se ulotu sisällölliseen neuvontaan. Tässä
yhteydessä arviointilaitoksen ja sen lukuun työskentelevien henkilöiden
onkin pidättäydyttävä neuvonnasta, joka on konsultointia ja vaarantaa
riippumattomuuden. Arviointilaitoksen tulee antaa neuvoja, ohjeita ja
opastusta maksutta, mikäli niistä aiheutuu vain vähäisiä kustannuksia.
Neuvonnalta ei varsinaisesti edellytetä ehdotonta julkista luotettavuutta,
mutta arviointilaitoksen tulee pyrkiä mahdollisimman virheettömiin
neuvoihin ja opastukseen.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
20 (44)
29.1.2015
Hyvän
kielenkäytön
vaatimus
tarkoittaa
asiallista,
selkeää
ja
ymmärrettävää kieltä. Hyvää kieltä on käytettävä sekä suullisessa että
kirjallisessa esityksessä ja arviointilaitoksen tuottamat asiakirjat on
laadittava hyvällä ja ymmärrettävällä kielellä.
4.1.6.1.4 Selvittämisvelvollisuus ja päätöksen perusteleminen
Arviointilaitostehtävää hoidettaessa arviointilaitoksen on huolehdittava
asian riittävästä ja asianmukaisesta selvittämisestä ja pyydettävä
arvioinnin
kohteelta
tarvittavat
tiedot
arvioinnin
suorittamiseksi.
Arviointitoimeksiantoa ei voida suorittaa pintapuolisen arviointiaineiston
pohjalta. Selvittäminen voi perustua suulliseen tai kirjalliseen selvitykseen,
mutta arviointilaitoksen on kuitenkin pystyttävä osoittamaan jälkikäteen,
että tehdyt havainnot perustuvat riittävään selvitykseen.
Perusteluvelvollisuus edellyttää sitä, että arvioinnissa tehtävät havainnot
perustellaan riittävällä tarkkuudella siten, että arvioinnin toimeksiantaja
saa tiedot siitä, miten tiettyyn lopputulokseen on päädytty ja mihin tehdyt
johtopäätökset perustuvat. Perusteluissa on kiinnitettävä huomiota
johdonmukaisuuteen ja selkeyteen sekä saatujen selvitysten tarkkaan
arviointiin. Mikäli arviointilaitos esimerkiksi toimeksiantajan reklamoinnin
johdosta havaitsee jälkikäteen, että sen tekemässä arvioinnissa on
puutteita
tai
virheitä
liittyen
asian
selvittämisen,
havaintojen
perustelemisen tai muun syyn takia, tulee sen mahdollisuuksien mukaan
korjata havaitut puutteet tai virheet.
Arviointitehtävään
liittyvää
selvittämisja
perusteluvelvollisuutta
konkretisoidaan kappaleissa 5.3 Arviointimenettelyn vaiheet, 5.4
Arviointimenetelmät sekä liitteessä B Arviointiraporttimalli. Lisäksi
standardi ISO 17021 sisältää vaatimuksia koskien tiedon keräämistä ja
todentamista, poikkeamien syiden selvittämistä, auditointihavaintojen
yksilöintiä ja kirjaamista, valituksiin vastaamista ja valituksia koskevasta
käsittelyprosessista sekä siitä tiedottamisesta.
4.1.6.1.5 Esteellisyys
Arviointilaitoksen lukuun työskentelevä henkilö ei saa osallistua
arviointitoimeksiantoon, jos häntä koskee hallintolain 28 §:ssä mainittu
esteellisyysperuste. Esteellisyyttä koskeva asia on ratkaistava viipymättä
arviointitoimeksiannon alkuvaiheessa. Esteellisyyden ratkaisee henkilö itse.
Arviointilaitos
ja
sen
vastuuhenkilöt
ovat
kuitenkin
vastuussa
riippumattomuutta koskevien vaatimusten täyttymisestä.
4.1.6.2 Julkisuuslaki
Julkisuuslaissa säädetään viranomaisten julkisista asiakirjoista sekä
asiakirjojen salassapidosta, salassa pidettäviin tietoihin liittyvästä
vaitiolovelvollisuudesta
ja
hyväksikäyttökiellosta
sekä
hyvästä
tiedonhallintatavasta. Julkisuuslain lähtökohta on julkisuusperiaate, mutta
arviointilaitoksen tulee suojata salassa pidettävää tietoa (kuten
liikesalaisuudet ja turvajärjestelyjä koskevat salassa pidettävät tiedot)
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
21 (44)
29.1.2015
tietoturvallisuus- ja tiedonkäsittelyä koskevien vaatimusten edellyttämällä
tavalla (vertaa kohta 4.1.4).
Rangaistus
julkisuuslain
mukaisen
salassapitovelvollisuuden
ja
hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain 40 luvun 5 §:n
mukaan, jollei teko ole rangaistava 38 luvun 1 tai 2 §:n mukaan tai jollei
siitä muualla laissa säädetä ankarampaa rangaistusta.
4.2 Arviointilaitokseksi hakeutuminen
4.2.1 Akkreditoinnin hakeminen
Ennen
varsinaisen
hyväksynnän
hakemista
Viestintävirastolta,
arviointielimen on haettava FINAS-akkreditointipalvelulta akkreditointia eli
pätevyyden
arviointia.
Arviointielimen
akkreditointiin
sovelletaan
yhdenmukaisia
kansainvälisiä
ja
eurooppalaisia
arviointiperusteita.
Tietoturvallisuuden arviointilaitoksen pätevyyden arvioinnissa sovelletaan
standardien ISO 17021 ja ISO 27006 vaatimuksia sekä tässä ohjeessa
tarkemmin kuvattuja vaatimuksia.
4.2.1.1 Arviointilaitoksen pätevyysalue
Tietoturvallisuuden arviointilaitoksen on hakiessaan pätevyyden arviointia
ilmoitettava, mille pätevyysalueelle se hakee akkreditointia. Pätevyysalueet
määritellään seuraaville osa-alueille:
I.
tietoturvallisuuden arviointikriteeristö
1) valtiovarainministeriön liitteessä 1 yksilöidyt ohjeet
tietoturvallisuudesta valtionhallinnossa annetun asetuksen
täytäntöönpanosta , kulloinkin voimassa olevat versiot15
2) kansallinen turvallisuusauditointikriteeristö , kulloinkin
voimassa oleva versio
3) ISO/IEC 27001, kulloinkin voimassa oleva versio
4) muu julkaistu ja yleisesti tai alueellisesti sovellettu
tietoturvallisuutta koskeva säännös, määräys tai ohje taikka
vahvistettuun standardiin sisältyvät tietoturvallisuutta
koskevat vaatimukset
Arviointilaitoksen on haettava pätevyyttä osa-alueelle 3) eli jotta laitos
voidaan hyväksyä tietoturvallisuuden arviointilaitokseksi, sillä on oltava
pätevyys suorittaa ISO 27001 standardin mukaisia arviointeja.
Kun arviointilaitos hakee pätevyyden arviointia kohtiin I. 1) ja 2), haetaan
pätevyyttä myös suojaustason perusteella:
15
Mikäli tietoturvallisuuden arviointilaitoksen pätevyysalue kattaa valtiovarainministeriön ohjeet
tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, voi se tehdä
sosiaali- ja terveydenhuollon tietojärjestelmien arvioinnin ja antaa olennaisten vaatimusten
täyttymistä koskevan todistuksen (ks. 6 Sosiaali- ja terveydenhuollon tietojärjestelmien
arviointi)
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
22 (44)
29.1.2015
II.
suojaustaso
1) suojaustaso IV
2) suojaustaso III
Kun arviointilaitos hakee pätevyyden arviointia tietoturvallisuuden
arviointilaitoksista annetun lain mukaisesti ensimmäisen kerran, voidaan
sille
määritellä
akkreditoitu
pätevyysalue
osa-alueen
II
osalta
suojaustasolle IV (II, alakohta 1).
4.2.2 Hyväksynnän hakeminen Viestintävirastolta
Tietoturvallisuuden arviointilaitos voi hakea hyväksyntää toimintaansa
varten Viestintävirastolle osoitetulla vapaamuotoisella hakemuksella.
Hakemukseen on liitettävä tiedot, jotka ovat tarpeen asian käsittelyä
varten. Hakemukseen liitteenä tulee olla FINAS-akkreditointipalvelun
akkreditointipäätös,
josta
ilmenee
arviointilaitoksen
akkreditoitu
pätevyysalue. Hyväksyntä voidaan arviointilaitoksen hakemuksesta
erityisestä syystä antaa määräaikaisena. Erityinen syy voi liittyä esimerkiksi
arviointilaitoksen pätevyysalueen rajaamiseen, joka tulisi arviointilaitoksen
toiminnan kehittämisen jälkeen tarpeettomaksi. Hyväksynnän antamisen
edellytyksenä on kuitenkin aina se, että laitos täyttää arviointilaitoksista
annetun lain 5 §:n hyväksymisvaatimukset.
Kuva 3. Arviointilaitoksen hyväksymismenettely
Hakemuksen tulee sisältää seuraavat tiedot:
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
23 (44)
29.1.2015
•
•
•
ilmoituksen arviointilaitoksen vastuuhenkilöistä ja selvityksen
arviointilaitoksen menetelmästä, jonka avulla laitoksen toimitilojen ja
tietojenkäsittelyn turvallisuus varmistetaan;
arviointilaitoksen toimintaa koskevat ohjeet; sekä
tarvittaessa ilmoituksen hakemukseen sisältyvistä salassa
pidettävistä tiedoista.
Jos hakemus sisältää salassa pidettäviä tietoja, tulee hakemuksessa
eritellä, miltä osin hakemus on salassa pidettävä ja mihin salassapito
perustuu. Salassa pidettävät tiedot erotetaan mielellään hakemuksen
erillisiksi liitteiksi.
Tietoturvallisuuden arviointilaitoksen hyväksymistä koskevan asian
käsittelystä perittävästä maksusta säädetään valtion maksuperustelaissa
(150/1992) ja liikenne- ja viestintäministeriön Viestintäviraston eräistä
maksuista annetussa asetuksessa (1058/2009).
5
Tietoturvallisuuden arviointimenettely
5.1 Arviointityypit
Hyväksytty
tietoturvallisuuden
arviointilaitos
voi
suorittaa
sekä
tietoturvallisuuden hallintajärjestelmien ja tietojenkäsittely-ympäristöjen
arviointeja että yksittäisten tietojärjestelmien ja tietoliikennejärjestelmien
arviointeja. Olennaista tietoturvallisuuden arvioinnissa kuitenkin aina on se,
että arviointi kohdistetaan koko salassa pidettävän tiedon elinkaareen eli
arvioinnin laajuus määritellään sen mukaisesti, missä laajuudessa salassa
pidettävää tietoa käsitellään.
5.1.1 Tietoturvallisuuden hallintajärjestelmän arviointi
Tietoturvallisuuden hallintajärjestelmän arvioinnissa on kyse organisaation
toiminnan arvioimisesta kokonaisuutena, jolloin kiinnitetään huomiota
esimerkiksi tietoturvallisuuden hallinnan suunnitteluun ja toteutukseen,
tietoturvallisuusriskien
hallintaan
sekä
organisaation
tietoturvallisuusvastuiden määrittämiseen.
Tietoturvallisuuden hallintajärjestelmän arvioinnilla tarkoitetaan erityisesti
ISO 27001 -standardin mukaista arviota, jonka tarkoituksena on selvittää,
onko arvioinnin kohteen tietoturvallisuuden suunnittelu, toteutus, auditointi
ja kehittäminen toteutettu standardin edellyttämällä tavalla. ISO 27001 sertifikaatti osoittaa, että sertifioidulla organisaatiolla on käytössään
tietoturvallisuuden hallintajärjestelmä ja hallintajärjestelmän tasoa
arvioidaan säännöllisesti.
5.1.2 Tietojenkäsittely-ympäristön arviointi
Tietojenkäsittely-ympäristön
arviointi
tarkoittaa
arvioinnin
kohteen
toiminnan arviointia erityisesti siltä osin, kun kohde käsittelee salassa
pidettävää tai turvallisuusluokiteltua tietoa tietyssä ympäristössä. Arviointi
kohdistetaan koko tiedon elinkaareen tiedon vastaanottamisesta tai
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
24 (44)
29.1.2015
tuottamisesta tiedon hävittämiseen saakka kaikissa sen olomuodoissa.
Toiminnan arvioinnissa käytetään KATAKRI- tai/ja VAHTI-kriteeristöä.
5.1.3 Tietojärjestelmän tai tietoliikennejärjestelyn arviointi
Tietojärjestelmän tai tietoliikennejärjestelyn tietoturvallisuuden arvioinnin
tarkoituksena on varmistaa, että tarkastuksen kohteena oleva tietty
tietojärjestelmä
tai
tietoliikennejärjestely
vastaa
sille
asetettuja
tietoturvallisuutta koskevia eli tietoturvallisuustason mukaisia vaatimuksia.
Arviointitehtävään ei sisälly tietojärjestelmään talletettavien tietojen
lainmukaisuuden arviointi tai muutkaan tietojärjestelmän sisällön arviointiin
liittyvät kysymykset, vaan arviointitehtävässä selvitetään, täyttääkö
arvioinnin kohde ne tekniset ominaisuudet, joita siltä edellytetään.
5.1.4 Osittainen arviointi
Tietoturvallisuuden arviointi voidaan tehdä arvioinnin toimeksiantajan
pyynnön mukaisesti osittaisena esimerkiksi rajaamalla arvioinnin kohdetta
niin, ettei se kata koko tiedon elinkaarta, vaan ainoastaan tietyn osan
tiedonkäsittelyä. Tällainen osittainen arviointi voi olla perusteltua
esimerkiksi niissä tilanteissa, joissa arvioinnin kohteena on laaja
tietojärjestelmä, jonka toteuttamisesta vastaa useampi taho, ja arviointi on
sen vuoksi tarkoituksenmukaista tehdä yhden laajan arvioinnin sijaan
pienempinä kokonaisuuksina. Arviointilaitoksen antaman todistuksen
edellytyksenä kuitenkin on, että arvioinnissa tarkastetaan kohteen
toimitilat.
5.1.5 Esiarviointi
Auditointivalmiuden selvittämiseksi voidaan tehdä esiarviointi, jonka
tarkoituksena on todeta kohteen arviointikypsyys ja tarvittaessa varmistaa
riittävä
tiedon
määrä
varsinaisen
arvioinnin
suunnittelemiseksi.
Esiarvioinnissa tulee pidättäytyä antamasta sellaisia suosituksia tai ohjeita,
jotka
voidaan
katsoa
konsultoinniksi
tai
muuten
vaarantavat
riippumattomuuden. Esiarviointia ei voida käyttää varsinaisen arvioinnin
keston lyhentämiseen.
5.2 Arviointikriteeristöt ja niiden soveltamisohjeet
Tässä kuvataan yleiset reunaehdot vaatimusten tulkintakäytännöille.
Epäselvissä tilanteissa tulee tulkintaohje pyytää Viestintävirastolta.
Tilanteissa, joissa samassa järjestelmässä käsitellään useamman omistajan
tietoa, esimerkiksi kansallista ja EU:n turvaluokiteltua tietoa, tulee täyttää
kaikkien tiedon omistajien asettamat suojausvaatimukset. Tilanteissa,
joissa asetettavat vaatimukset ovat keskenään päällekkäisiä tai ristiriitaisia,
tulee vaatimukset täyttää tiukimman mukaisesti.
5.2.1 Kansalliset tietoturvallisuusvaatimukset
Kansallista suojattavaa tietoa sisältävien järjestelmien suojausvaatimukset
on kuvattu tietoturvallisuusasetuksessa sekä sen toimenpanon ohjaukseen
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
25 (44)
29.1.2015
tarkoitetuissa valtiovarainministeriön ohjeissa eli VAHTI-julkaisuissa.
Toimeenpanon ohjaukseen tarkoitetut VAHTI-julkaisut ovat lueteltu
liitteessä A. Haettaessa viranomaishyväksyntää, kohteelta edellytetään
tietoturvallisuusasetuksessa sekä liitteessä A
mainituissa
VAHTIjulkaisuissa kuvattujen vaatimusten täyttämistä. Jos edellä mainituissa
julkaisuissa
on
päällekkäisiä
tai
ristiriitaisia
vaatimuksia,
on
arviointilaitoksen haettava Viestintävirastolta tulkintalinjaus.
VAHTI-julkaisuissa viitataan joidenkin vaatimusten osalta Kansalliseen
turvallisuusauditointikriteeristöön
(KATAKRI).
Näiden
vaatimusten
täyttymisen todentaminen tulee toteuttaa KATAKRI:ssa kuvattujen
määritysten mukaisesti.
Myös vain kansallisista suojattavaa tietoa käsitteleviä järjestelmiä voidaan
arvioida KATAKRI-kriteeristössä kuvattuja vaatimuksia vasten.
5.2.2 Kansainväliset tietoturvallisuusvaatimukset
Kansainvälistä turvaluokiteltua tietoa sisältävien järjestelmien keskeiset
suojausvaatimukset
on
kuvattu
Kansallisessa
turvallisuusauditointikriteeristössä (KATAKRI). KATAKRI:ssa kuvattujen
vaatimusten tulkinta riippuu yksittäisten vaatimusten16 tapauksessa
kansainvälisen tiedon omistajasta17. Viestintävirasto ohjeistaa hyväksyttyjä
arviointilaitoksia KATAKRI:n tulkintakäytännöistä. Vaatimusten tulkinta voi
tiedon
omistajasta
riippuen
vaihdella
esimerkiksi
hajasäteilyltä
suojautumista ja tiedon erottelua koskevien vaatimusten osalta.
5.2.3 Vahvistettuun standardiin perustuvat tietoturvallisuusvaatimukset
ISO
27001
-standardi
sisältää
vaatimukset
tietoturvallisuuden
hallintajärjestelmille. ISO 27001 -standardin soveltamisessa ja standardiin
liittyvissä arvioinneissa voidaan käyttää apuna muita ISO 27000 -sarjan
standardeja.
5.3 Arviointimenettelyn vaiheet
Arviointitoiminnan tarkoituksena on tuottaa arvioinnin toimeksiantajalle
tieto arvioinnin kohteen tietoturvallisuuden hallintajärjestelmän taikka
nimenomaisen tietojärjestelmän tai tietoliikennejärjestelyn ja sen
toteutuksen vaatimuksenmukaisuudesta. Arvioinnissa selvitetään, onko
arvioinnin kohteen toiminnassa asianmukaisella tavalla toteutettu
tietoturvallisuutta koskevat vaatimukset, jotka ovat otettu selvityksen
perustaksi. Arviointilaitoksen on suoritettava arviointitehtävä noudattaen
huolellisuutta, mikä tarkoittaa esimerkiksi laitoksen velvollisuutta
16
Käytännössä eroja on lähinnä vain hajasäteilyltä suojautumiseen (F 217.0), eri omistajien
tiedon erotteluun ja tarkastusoikeuteen (I 505.0), salausratkaisujen hyväksymiseen (I 509.0)
sekä henkilöturvallisuusselvityksiin (P 405.0) liittyen.
17
Esimerkiksi EU:n turvallisuusluokiteltujen tietojen suojaamiseen sovelletaan neuvoston
päätöstä (2011/292/EU) turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen
suojaamiseksi. Naton turvaluokitellun tiedon suojausvaatimukset on kuvattu Naton
turvallisuuspolitiikassa ja sitä täsmentävissä politiikoissa.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
26 (44)
Ohje
29.1.2015
noudattaa
toimintaa.
asianmukaisia
menettelytapoja
sekä
muutoinkin
asiallista
5.3.1 Toimeksianto
Tietoturvallisuuden arviointimenettely käynnistyy aina toimeksiannosta.
Toimeksianto tarkoittaa arvioinnin suorittamista ISO 17021 standardin
mukaisella menettelyllä18, ja arvioinnin lopputuloksena arviointilaitos
toteaa, täyttyvätkö arvioinnin perustana olevat vaatimukset vai eivät sekä
antaa todistuksen arvioinnin toimeksiantajalle, mikäli vaatimukset
täyttyvät.
Lähtökohtaisesti VAHTI- ja KATAKRI-arvioinneissa arviointitoimeksiannolla
tarkoitetaan yksittäisen arvioinnin suorittamista, mutta toimeksiantaja ja
arviointilaitos
voivat
sopia
myös
laajemmasta
arviointipalvelusta
esimerkiksi koskien laajempaa arviointiohjelmaa, seurantatoimia ja
uudelleenarviointeja19.
Viranomaisen tietojärjestelmää tai tietoliikennejärjestelyä koskevan
arviointipyynnön tekee viranomainen, jonka määräämisvallassa tai
hankittavaksi suunnittelema järjestelmä on. Määräämisvallalla tarkoitetaan,
että
järjestelmä
on
viranomaisen
käytettävissä
esimerkiksi
käyttöoikeussopimuksen perusteella ja jos viranomainen on oikeutettu
määräämään sen käytöstä, tietojen luovuttamisesta ja muusta
tiedonkäsittelystä.
Viranomaisen
tietojärjestelmää
koskevan
arviointipyynnön
voi
tehdä
myös
se,
joka
tarjoaa
sellaisia
tietojenkäsittelypalveluja, joita käytetään yleisesti valtionhallinnon eri
viranomaisissa, kun viranomainen antaa tähän valtuutuksen.
Arviointilaitoksen tulee laatia kirjallinen sopimus tietoturvallisuuden
arviointitehtävästä arvioinnin toimeksiantajan kanssa. Sopimuksessa on
sovittava ainakin arvioinnin kohteesta ja mahdollisista kohdetta koskevista
rajauksista, sovellettavasta arviointiperusteesta ja arviointikriteeristöstä,
suojaus- tai turvallisuusluokitustasosta, arvioinnin laajuudesta ja kestosta,
toimeksiantajalle luovutettavasta arviointiraportista ja muusta asiakirjaaineistosta sekä arviointitehtävästä perittävästä maksusta.
Arviointilaitoksen on varmistuttava toimeksiantosopimuksessa siitä, että
laitoksella on oikeus saada riittävät tiedot ja pääsy tarvittaviin tiloihin
arviointitehtävän
suorittamiseksi.
Arviointilaitoksen
on
lisäksi
varmistuttava, että arviointiin liittyvät tiedot ovat riittävässä määrin20
arviointilaitoksen ja Viestintäviraston saatavilla myös arviointitehtävän
päättymisen jälkeen.
18
ISO 17021 liite E Kolmannen osapuolen auditointi- ja sertifiointiprosessi. Seuranta-auditoinnit
ja uudelleenarvioinnit suoritetaan VAHTI- ja KATAKRI-arvioinneissa, mikäli tästä erikseen
osapuolten välillä sovitaan.
19
Vertaa ISO 17021 9.1.1 Auditointiohjelma, ISO 17021 9.3 Seurantatoimet ja ISO 27006 9.3
Surveillance activities sekä ISO 17021 9.4 Uudelleensertifiointi ja ISO 27006 9.4 Resertification.
20
Arviointilaitoksen on säilytettävä keskeiset arviointitulokseen vaikuttavat todistusaineistot 6
vuotta arviointitapahtuman päättymisen jälkeen.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
27 (44)
29.1.2015
5.3.2 Arvioinnin perustaksi otettujen tietoturvallisuutta koskevien vaatimusten
toteutuminen
Kun arviointikriteeristönä käytetään VAHTI:a ja KATAKRI:a, arviointi
suoritetaan noudattaen kohdan 5.4 Arviointimenetelmät mukaisia
vaatimuksia. Arviointilaitoksen on suorittamassa arviossaan tarkistettava
kohteen toimitilat, eikä arvioinnin perusteella annettavaa todistusta voida
siten antaa ilman asianmukaista toimitilojen tarkastamista.
Tietyissä
tietoturvallisuutta
koskevissa
yksittäisissä
vaatimuksissa
edellytetään kansallisen tietoturvaviranomaisen antamaa hyväksyntää.
Tällaista hyväksyntää voidaan edellyttää salaustuotteiden ja hajasäteilyä
koskevien vastatoimien (TEMPEST) osalta21. Arvioinnin kohteen on
hankittava viranomaishyväksynnät etukäteen arviointia varten, ja
arvioinnissa arviointilaitos toteaa, että hyväksyntä haettu ja että kohteen
toiminta vastaa hyväksynnän vaatimuksia ja ehtoja (esim. salaustuotteen
käyttöä koskevat ehdot).22
5.3.3 Arvioinnissa sovellettava menettely
Tietoturvallisuuden
arviointimenettelyssä
sovelletaan
noudatettava
standardien ISO 17021 ja ISO 27006 mukaisia prosessivaatimuksia
soveltuvin osin. Arviointimenettelyssä voidaan käyttää myös standardien
ISO 19011 ja ISO 27007 mukaisia menettelyitä23. Ellei muuta ole arvioinnin
toimeksiantajan ja arviointilaitoksen välillä sovittu, arviointitehtävä ei
sisällä auditointiohjelmaa tai seuranta- ja uudelleenarviointitehtäviä silloin,
kun arviointikriteerinä käytetään VAHTI:a tai KATAKRI:a.
21
Viestintävirason NCSA-toiminnon hyväksymät salausratkaisut ja sähkömagneettisen
hajasäteilyn aiheuttamien tietoturvariskien ehkäisyn periaatteet ks.
https://www.viestintavirasto.fi/tietoturva/viestintavirastontietoturvapalvelut/ncsa-fi.html >
Asiakirjat
22
Arviointilaitos voi hakea salaustuotetta koskevan Viestintävirasto arvion niin sanottuna CAApikaprosessina
23
ISO 19011:2011 "Guidelines for auditing management systems"/ SFS-EN ISO 19011
"Johtamisjärjestelmän auditointiohjeet", ISO 27007 Guidelines for information security
management systems auditing
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
28 (44)
Ohje
29.1.2015
Arvioinnin aloittaminen
Toimeksianto
Yleistilanne
Arviointiperuste ja suojaustaso
Asiakirjojen katselmointi
Ilmiselvät parannuskohteet
Arviointikriteeristö
Valmius paikan päällä toteutettavaan
arviointiin
Paikan päällä toteutettavat
toimenpiteet
Arviointiraportti
Riittävän arviointinäytön kerääminen
Arviointihavainnot ja niiden
perusteleminen
Tekninen todentaminen
Korjaavien toimenpiteiden
toteuttaminen
Raportointi
Poikkeamaraportointi
Arviointilaitoksen todistus
kohteelle
Kuva 4. Esimerkki tietoturvallisuuden arvioinnin etenemisestä
5.3.4 Arviointiraportti ja muut arviointiin liittyvät asiakirjat
Tietoturvallisuuden arvioinnista ja suoritetuista tarkastuksista on laadittava
arviointiraportti liitteen B mukaisesti noudattaen standardeiden ISO 17021
ja
ISO
27006
vaatimuksia.
VAHTIja
KATAKRI-arvioinneissa
arviointiraporttiin on aina liitettävä vaatimustaulukko arviointituloksineen ja
perusteluineen (vertaa liite B). Raportissa ja sen liitteenä olevassa
vaatimustaulukossa on perusteltava huolellisesti ja riittävän laajasti tehdyt
havainnot sekä millä perusteilla yksittäinen vaatimus on joko hyväksytty tai
hylätty. Siltä osin kuin havainnot perustuvat asiakirjanäyttöön, on
raportissa yksilöitävä kyseinen asiakirja.
Arviointilaitoksen on dokumentoitava arviointitehtävän suorittamisen
yhteydessä syntyvä asiakirja- ja todistusaineisto riittävällä tarkkuudella
siten, että arvioinnissa tehdyt havainnot voidaan todentaa jälkikäteen.
Arviointilaitoksen tulee havaintojen jälkikäteiseksi todentamiseksi myös
varmistua asiakirja- ja todistusaineiston saatavuudesta24.
5.3.5 Todistuksen antaminen
Arviointilaitoksen tulee antaa arvioinnin kohteelle selvityksen ja
tarkastuksen perusteella todistus, jos kohteen toimitilat ja toiminta on
arvioinnin perustana olleiden tietoturvallisuusvaatimusten mukainen.
24
Arviointilaitoksen on säilytettävä keskeiset arviointitulokseen vaikuttavat todistusaineistot 6
vuotta arviointitapahtuman päättymisen jälkeen.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
29 (44)
Ohje
29.1.2015
Todistuksen antamisen edellytyksenä on, että kohteen toimitilat ovat
tarkastettu hyväksytysti. Todistuksessa on yksilöitävä arvioinnissa käytetyt
arviointiperusteet eli arviointikriteeristö ja sovellettu tietoturvallisuustaso,
tiedot arvioinnin laajuudesta sekä todistuksen myöntämispäivä.
Kun arviointi koskee tietojärjestelmän tai tietoliikennejärjestelyn arviointia,
voidaan todistukseen viitata tai käyttää sitä tuotteen yhteydessä siten, että
todistuksella osoitetaan järjestelmän vaatimuksenmukaisuus. Näin ollen
ISO 17021 standardin 8.4.1, 8.4.2 ja 8.4.3 f) kohtien mukainen rajoitus
koskien merkin käyttöä tuotteessa ei koske tietojärjestelmiä ja
tietoliikennejärjestelyjä, joille arviointilaitos on myöntänyt todistuksen.
5.3.6 Arviointia koskevien tietojen julkaiseminen
Kun arviointikriteeristönä käytetään VAHTI:a tai KATAKRI:a tai kun
arviointi koskee viranomaisen tiedonkäsittely-ympäristön, tietojärjestelmän
tai tietoliikennejärjestelyn arviointia, arviointilaitoksen on asetettava ISO
17021 -standardin kohdissa 8.1.3 ja 8.3 tarkoitetut tiedot julkisesti
saataville vain, mikäli viranomainen, jonka pyynnöstä arviointi on tehty, on
antanut tähän kirjallisen suostumuksen.
5.3.7 Seurantatoimenpiteet
Jos
arviointilaitos
myöntää
arvioinnin
kohteelle
todistuksen
tietoturvallisuusvaatimusten täyttymisestä, on todistuksessa edellytettävä
arvioinnin kohdetta ilmoittamaan kaikista niistä arvioinnin kohdetta
koskevista
muutoksista,
joilla
voi
olla
vaikutusta
tietoturvallisuusvaatimusten
täyttymiseen.
Kun
arviointilaitos
saa
ilmoituksen muutoksesta, on sen peruutettava todistus, jos muutoksen
johdosta arvioinnin kohde ei enää täytä niitä vaatimuksia, jotka ovat otettu
arvioinnin perustaksi. Arviointilaitoksen tulee ilmoittaa todistuksen
peruuttamisesta arvioinnin toimeksiantajalle.
Muista seuranta- ja uudelleenarviointitehtävistä
toimeksiannon perusteella.
arviointilaitos
vastaa
5.4 Arviointimenetelmät
5.4.1 Yleisiä arviointitoiminnassa huomioitava periaatteita
5.4.1.1 Asiakastietojen suojaaminen tarkastustoiminnassa
Asiakastietojen
käsittelyssä
on
täytettävä
KATAKRI:ssa
kuvatut
suojausvaatimukset koko tiedon elinkaaren ajan. Tekniseen tarkastamiseen
liittyen tulee erityisesti huomioida
•
•
•
25
26
tiedon erotteluvaatimuksen25 toteutus / asiakaskohtainen dedikointi26,
tarkastuslaitteiston eheys ja mittaustiedon luotettavuus, sekä
tietojen kuljettamis- ja säilyttämiskäytännöt.
KATAKRI I 505.0. (KATAKRI II)
Asiakkaan verkkoon voi kytkeä vain laitteiston, joka ei sisällä muiden asiakkaiden tietoja.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
30 (44)
29.1.2015
5.4.1.2 Tarkastuslaitteiston eheys ja mittaustiedon luotettavuus
Tarkastuslaitteiston
tuottaman
mittaustiedon
luotettavuudesta
pystyttävä varmistumaan. On varmistettava erityisesti, että
•
•
on
laitteisto alustetaan jokaiseen tarkastuskäyntiin luotettavasta lähteestä,
ja
mittaustiedon tulosten oikeellisuus tarkastetaan useammasta
lähteestä27.
5.4.1.3 Kasautumisvaikutuksen arviointi
Kasautumisvaikutuksella tarkoitetaan ilmiötä, jossa suuresta määrästä
tietyn suojaustason tietoa koostuvissa tietojärjestelmissä asiakokonaisuus
nousee
luokitukseltaan
usein
yksittäistä
tietoa
korkeampaan
suojaustasoluokkaan. Esimerkiksi suuri määrä suojaustason IV tietoa voi
muodostaa yhdistettynä suojaustason III tietovarannon.
Kun
kohteen
keskeisen
tietovarannon
suojaustaso
tulkitaan
kasautumisvaikutuksesta
johtuen
yksittäisten
tietoalkioiden
tasoa
korkeammaksi, tulee tietovarannon määritellyt suojausmenetelmät
toteuttaa korkeamman tason vaatimusten mukaisesti. Määritellyillä
suojausmenetelmillä tarkoitetaan menetelmiä, joilla rajataan pääsy vain
tehtävässä tarvittavaan yksittäiseen tai suppeaan osaan tietosisällöstä, ja
joilla yritykset päästä valtuuttamattomasti laajempaan osaan tietosisällöstä
havaitaan.
Kun arviointikriteeristönä käytetään KATAKRI:a, tulee kasautumisvaikutus
tulkita siten, että tietovarannon suojauksilta edellytetään korkeamman
tason mukaisena tietovarannon fyysisen turvallisuuden lisäksi kohtia I
513.0 (sovelluskerroksen turvallisuus), I 504.0 ja I 504.1 (jäljitettävyys ja
havainnointikyky) sekä I 501.1 (tehtävien eriyttäminen). Onkin
huomioitava, että kasautumisvaikutuksen seurauksena yhdellä luokalla
noussut
tietovarannon
suojaustaso
ei
edellytä
hyväksyttävää
yhdyskäytäväratkaisua tietovarannon (esimerkiksi ST III) ja päätelaitteiden
(esimerkiksi ST IV) välille.
Vastaavasti kun arviointikriteeristönä käytetään VAHTI:a, tulee seuraavat
aihepiirit tarkastaa luokkaa korkeamman tason mukaisesti:
1) sovelluskerroksen turvallisuus,
2) jäljitettävyys ja havainnointikyky,
3) tehtävien eriyttäminen, ja
4) tietovarannon fyysinen turvallisuus.
27
Esimerkiksi päivityskäytäntöjen toteutus tulee todentaa vähintään henkilöstöä
haastattelemalla, prosessikuvauksiin (tai vast.) tutustumalla, päivitystason tutkinnalla
järjestelmän "sisältä päin" (esim. tarkastamalla turvapäivitysten asennusaikaleimat itse
järjestelmästä) sekä suorittamalla kohteeseen ulkoa päin haavoittuvuusskannaus.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
31 (44)
29.1.2015
5.4.1.4 Sovellettavat uhkamallit
Suojaustason IV järjestelmät on suojattava yleisiltä matalan tai keskitason
resursseilla ja/tai osaamisella varustettujen hyökkääjien uhkia vastaan.
Esimerkiksi
julkisesta
verkosta
saavutettavat
etäkäyttöratkaisujen
terminointipisteet on pidettävä tiukasti julkaistujen turvapäivitysten tasolla,
ja julkaistujen nollapäivähaavoittuvuuksien hyödyntäminen on estettävä
muilla keinoin28.
Suojaustason III järjestelmät on suojattava merkittävimmillä resursseilla
ja/tai osaamisella varustettujen hyökkääjien uhkia vastaan. Esimerkiksi
suojaustason
III
turvaluokitellun
tiedon
käsittely
on
rajattava
hyväksyttyihin
vaatimukset
täyttäviin
fyysisiin
toimitiloihin
ja
kansainvälisen aineiston tapauksessa suojattava myös esimerkiksi lähtevän
hajasäteilyn (TEMPEST) uhkien osalta.
5.4.1.5 Rajausten määrittely
Viranomaishyväksynnän ehtona on tietoturvallisuuden huomiointi koko
tiedon elinkaaren ajalta. Tämä on huomioitava rajauksissa siten, että
kohteesta riippumatta tietoa suojataan vaatimusten mukaisesti koko sen
elinkaaren ajan kaikissa siihen kohdistuvissa käyttötapauksissa ja
käyttöympäristöissä.
Esimerkiksi työaseman tarkastuksessa on huomioitava työaseman
ensiasennuksen, päivitys- ja muutoshallinnan, käytöstä poiston prosessien
toteutukset, sekä lisäksi käyttötapaukset eri käyttöympäristöissä
(esimerkiksi etätyö).Viranomaishyväksyntään tai -todistukseen tähtäävissä
tarkastuksissa edellytetään siten tarkastuksen rajauksen ulottamista
kaikkiin ympäristöihin, missä suojattava tieto käy elinkaarensa aikana
hyväksynnän/todistuksen piiriin haettavissa käyttötapauksissa. Mikäli
tarkastuksen kohteena on esimerkiksi viraston A tiedonhallintajärjestelmä,
tarkastuksen rajaukseen on sisällyttävä tiedonhallintajärjestelmän lisäksi
kaikki työasemat ja verkot, joista ko. tiedonhallintajärjestelmää käytetään
tai joista pystytään muuten vaikuttamaan kyseessä olevan tiedon
suojauksiin. Viestintävirasto ohjeistaa hyväksyttyjä arviointilaitoksia
yksityiskohtaisemmin
rajausmäärittelyistä
eri
tarkastustyyppien
ja
käyttötapausten osalta.
5.4.2 Hallinnolliselle todentamiselle asetettavat vähimmäisvaatimukset
Hallinnolliselle todentamiselle
kuvattu
taulukossa
1.
todentamismenetelmät
sekä
menetelmiä edellytetään.
asetettavat vähimmäisvaatimukset on
Taulukossa
listataan
edellytettävät
suojaustasot,
joille
kyseessä
olevia
28
Esimerkiksi poistamalla haavoittuva komponentti käytöstä ennen kuin turvapäivitys on
julkaistu ja saatu asennettua.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
32 (44)
Ohje
29.1.2015
ID
Todentamismenetelmä
Tasot
Huomioitavaa
H1
Haastattelut
IV ja III
Kohteena soveltuvat henkilöt,
tyypillisesti sisältäen johdon,
ylläpidon/kehityksen ja
loppukäyttäjien edustajat
H2
Dokumentaatioon
tutustuminen
IV ja III
Kattaen verkkokuvat,
järjestelmäkuvaukset,
prosessikuvaukset ja vastaavat
Taulukko 1. Hallinnollisen todentamisen vähimmäisvaatimukset
Tässä ohjeessa ei kuvata tasojen II-I järjestelmien
hallinnolliselle todentamiselle asetettavia lisävaatimuksia.
turvallisuuden
5.4.3 Tekniselle todentamiselle asetettavat vähimmäisvaatimukset
Tekniselle todentamiselle asetettavat vähimmäisvaatimukset on kuvattu
taulukossa 2. Taulukossa listataan edellytettävät todentamismenetelmät
sekä suojaustasot, joille kyseessä olevia menetelmiä edellytetään.
ID
Todentamismenetelmä
Tasot
Huomioitavaa
T1
Passiivinen rajapintaanalyysi
IV ja III
Menetelmään sisällyttävä verkko/järjestelmäkuvien rakentamiset
sekä liikenneanalyysit.
T2
Järjestelmäkonfiguraatioiden
turvallisuuden tarkastelu
IV ja III
Menetelmän katettava kaikki kohteen
turvallisuuteen vaikuttavat
29
osakokonaisuudet .
T3
Aktiivinen rajapintaanalyysi
IV ja III
Menetelmään sisällyttävä
porttiskannaukset,
haavoittuvuusskannaukset (tunnetut
haavoittuvuudet) sekä
30
toimintavarmuustestaukset
(tuntemattomat haavoittuvuudet).
T4
Sovellusturvallisuuden
tarkastelut
järjestelmätyypeittäin
IV ja III
Menetelmän katettava kohteen
turvallisuuteen vaikuttavien
sovelluskomponenttien tarkastelut,
esimerkiksi web-sovellukset, Javapalvelin-/asiakasohjelmistot ja ERPjärjestelmien sisäiset
29
Osakokonaisuuksia ovat tyypillisesti esimerkiksi palvelinten ja työasemien käyttöjärjestelmät
sekä muut alustaan asennetut ohjelmistot, verkkolaitteiden konfiguraatiot, tietokantojen
konfiguraatiot sekä muut järjestelmän turvallisuuteen vaikuttavat ohjelmistot.
30
Toimintavarmuustestauksella tarkoitetaan tässä ohjeessa erityisesti virheellisen syötteen
lähettämiseen (fuzz testing) perustuvaa koestusta. Toimintavarmuustestausta edellytetään vain
turvallisuuden kannalta kriittisiin järjestelmäosiin. Tällaisia ovat esimerkiksi suojaustason III
yhdyskäytäväratkaisut, eri verkkoteknologioiden väliset liityntärajapinnat sekä suurten
tietomassojen pääsynhallintamekanismit (kasautumisvaikutus).
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
33 (44)
29.1.2015
pääsynhallintamekanismit.
T5
Salausratkaisujen
turvallisuuden
todentaminen
IV ja III
T6
Käytettävyystestaukset
(ml.
kuormitustestaukset)
IV ja III
T7
Fyysisen turvallisuuden
suojausten
todentamismenetelmät
IV ja III
T8
Yhdyskäytäväratkaisujen
turvallisuuden testaukset
III
Kohteissa, joissa Viestintäviraston
Yhdyskäytäväratkaisuohjeen31
mukaista yhdyskäytäväratkaisua,
todennettava toteutetun ratkaisun
turvallisuuden riittävyys suhteessa
Yhdyskäytäväratkaisuohjeessa
kuvattuihin vaatimuksiin. Tilanteissa,
joissa kohteessa ei ole käytössä em.
ohjeen mukaista
yhdyskäytäväratkaisua, on ratkaisun
turvallisuudelle haettava NCSA:n
arvio.
T9
Poikkeamahavainnointikyvyn testaukset
IV ja III
Menetelmään sisällyttävä erityisesti
suojattavan suojaustason III
ympäristön sisällä tehtävien
valtuuttamattomien toimien ja niiden
yritysten havainnointikyvyn
testaamiset.
T10
(*)
Hajasäteilysuojausten
todentaminen
III
Tarkastettava edellytettävä taso
tiedon omistajakohtaisesti.
Edellytetään esimerkiksi EU:n
turvaluokitellulle Confidential-tason
Kohteissa, joissa käytetään
Viestintäviraston NCSA-toiminnon
hyväksymää salausratkaisua,
todennettava salausasetusten ja
hallintakäytäntöjen turvallisuuden
riittävyys. Tilanteissa, joissa
kohteessa ei ole käytössä
hyväksyttyä salausratkaisua, on
ratkaisun turvallisuudelle haettava
NCSA:n arvio.
Edellytetään vain järjestelmiin, joilla
on korkeat käytettävyysvaatimukset
(esim. ihmishenkiä suojaavat
turvajärjestelmät).
Arviointilaitoksella tulee olla kyky
toteuttaa sovellusten stressitestejä,
palvelunestohyökkäyksen
kestokykytestauksia sekä kyky
arvioida kohteen jatkuvuuden
hallinnan / toimintavarmuuden
menettelyjä.
31
Viestintäviraston ohje "Ohje hyväksyttävien yhdyskäytäväratkaisujen suunnitteluperiaatteista
ja ratkaisumalleista". URL: www.ncsa.fi > Asiakirjat > Yhdyskäytäväratkaisuohje.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
34 (44)
29.1.2015
tiedolle.
T11
(*)
Luvattomien teknisten
laitteiden olemassaolon
todentaminen
III
Tarkastettava edellytettävä taso
kohdekohtaisesti tiedon omistajalta
tai omistajan valtuuttamalta taholta.
Ei tyypillisesti edellytetä esimerkiksi
palvelintiloihin, joissa ei keskustella
salassa pidettävästä tiedosta.
Taulukko 2. Teknisen todentamisen vähimmäisvaatimukset
Taulukossa 2 tähdellä (*) merkityt todentamismenetelmät on mahdollista
ulkoistaa DSA-viranomaiselle. Tässä ohjeessa ei kuvata tasojen II-I
järjestelmien turvallisuuden tekniselle todentamiselle asetettavia
lisävaatimuksia.
5.5 Arviointilaitoksen suorittaman arvioinnin suhde viranomaishyväksyntään
ja viranomaisen antama todistus
Tietyissä tilanteissa tietojärjestelmältä, tietoliikennejärjestelyltä tai muulta
tietojenkäsittely-ympäristöltä
edellytetään
viranomaishyväksyntää.
Esimerkiksi
tietojärjestelmät,
joissa
käsitellään
kansainvälisen
tietoturvavelvoitteen perusteella salassa pidettävää tietoa, on aina
hyväksytettävä toimivaltaisella turvallisuusviranomaisella ennen tiedon
käsittelyn aloittamista. Myös suomalainen viranomainen voi edellyttää
esimerkiksi tietojärjestelmää hankkiessaan, että järjestelmälle on annettu
viranomaishyväksyntä.
Viranomaishyväksyntä
tehdään
aina
toimivaltaisen
turvallisuusviranomaisen toimesta, mutta se voidaan kuitenkin antaa
arviointilaitoksen tekemän arvioinnin perusteella, kun arviointilaitos on
suorittanut arvioinnin, jossa todetaan arvioinnin kohteen toiminnan ja
toimitilojen täyttävän sovelletun arviointikriteeristön mukaiset vaatimukset,
ja arviointilaitos on antanut arvioinnin perusteella todistuksen.
Toimivaltainen
turvallisuusviranomainen
voi
hyväksyntää
varten
tarvittaessa suorittaa tarkentavia arviointeja tai pyytää arvioinnin kohteelta
lisäselvitystä sen selvittämiseksi ja varmistamiseksi, että arvioinnin kohde
täyttää soveltuvat tietoturvallisuusvaatimukset. Tarkentavat arvioinnit ja
lisäselvitykset ovat tarpeen erityisesti silloin, kun kyse on kansainvälisen
tietoturvallisuusvelvoitteen
mukaisesti
annettavasta
todistuksesta.
Viestintäviraston antama viranomaistodistus on voimassa enintään 3
vuotta.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
35 (44)
Ohje
29.1.2015
Arviointilaitoksen
suorittama arviointi
Arviointiilaitoksen odistus
vaatimukset täyttävälle
kohteelle
Turvallisuusviranomaisen
täydentävä arviointi tai
selvitys
Viranomaishyväksyntä tai
-todistus
tietojärjestelmälle
Pyyntö
viranomaishyväksynnälle
todistuksen perusteella
Kuva 5. Kohteen hyväksymismenettely
Viranomaishyväksynnän hakemista on kuvattu yksityiskohtaisemmin
Viestintäviraston ohjeessa "Viestintäviraston NCSA-toiminnon suorittamat
tietoturvallisuustarkastukset - Tilaajaorganisaation näkökulma"32.
6 Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi
Sosiaali- ja terveydenhuollon tietojärjestelmillä tarkoitetaan sosiaali- tai
terveydenhuollon asiakastietojen sähköistä käsittelyä varten toteutettua
ohjelmistoa tai järjestelmää, jonka avulla tallennetaan ja ylläpidetään
asiakas- tai potilasasiakirjoja. Myös välityspalvelut, joilla sosiaali- tai
terveydenhuollon
asiakastietoja
välitetään
Kansaneläkelaitoksen
ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin, ovat sosiaali- ja
terveydenhuollon järjestelmiä. Näitä tietojärjestelmiä koskee sosiaali- ja
terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki
(159/2007, "asiakastietolaki"), jossa määritellään tietojärjestelmien
olennaiset vaatimukset ja niiden osoittaminen. Vaatimuksia sovelletaan
myös sähköisestä lääkemääräyksestä annetun lain (61/2007) mukaan myös
sähköisen lääkemääräyksen laadinnassa ja toimittamisessa käytettäviin
tietojärjestelmiin ja niitä tukeviin ohjelmistoihin.
Tietojärjestelmät jaotellaan käyttötarkoituksensa ja ominaisuuksiensa
perusteella luokkiin A ja B, ja näiden järjestelmien tulee täyttää
yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta
koskevat olennaiset vaatimukset. Luokkaan A kuuluvien järjestelmien
tietoturvallisuuden vaatimuksenmukaisuus on osoitettava Viestintäviraston
hyväksymän tietoturvallisuuden arviointilaitoksen antamalla todistuksella.
Tietojärjestelmäpalvelun
tarjoajan
tulee
pyytää
hyväksytyn
Kansaneläkelaitoksen
yhteistestauksen
jälkeen
hyväksytyltä
tietoturvallisuuden arviointilaitokselta järjestelmän arviointia ja jos
järjestelmä täyttää olennaiset vaatimukset, laitos antaa järjestelmästä
vaatimustenmukaisuustodistuksen.
Terveyden ja hyvinvoinnin laitos (THL) antaa tarkempia määräyksiä
olennaisten vaatimusten sisällöstä. Tietoturvaa koskevat olennaiset
32
www.ncsa.fi > Asiakirjat > "Viestintäviraston NCSA-toiminnon suorittamat
tietoturvallisuustarkastukset".
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
36 (44)
29.1.2015
vaatimukset
pohjautumaan
valtionhallinnon
tietoturvallisuuden
johtoryhmän
(VAHTI)
hyväksymiin
tietoturvaohjeistoihin.
Mikäli
tietoturvallisuuden
arviointilaitoksen
pätevyysalue
kattaa
valtiovarainministeriön
ohjeet
tietoturvallisuudesta
valtionhallinnossa
annetun asetuksen täytäntöönpanosta (ks. 4.2.1.1), voi se tehdä sosiaalija terveydenhuollon tietojärjestelmien arvioinnin ja antaa olennaisten
vaatimusten täyttymistä koskevan todistuksen.
Asiakastietolain mukaisten luokan A kuuluvien järjestelmien arviointi
toteutetaan
tietoturvallisuuden
arviointilaitoksista
annetun
lain,
viranomaisten
tietojärjestelmien
tietoturvallisuudesta
annetun
lain
mukaisesti sekä noudattaen asiakastietolain säännöksissä olevia erityisesti
sosiaali- ja terveydenhuollon järjestelmien arvioinnissa noudatettavia
menettelyjä, jotka koskevat arvioinnin suorittamista, todistuksen antamista
ja sen ylläpitoa sekä arviointilaitoksen ilmoitusvelvollisuutta.
6.1 Tietoturvallisuuden arvioinnin suorittaminen ja todistuksen antaminen
Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi toteutetaan THL:n
antamissa määräyksissä kuvattuja tietoturvallisuusvaatimuksia vasten.
Arvioinnissa noudatetaan tämän ohjeen sekä THL:n määräyksessä
kuvattuja menettelyjä. Asiakastietolain mukaiseen arviointiin ei sisälly
tietojärjestelmän valmistajan eikä käyttäjän toimitilojen arviointi eikä
tarkastaminen. Arviointi tapahtuu tietojärjestelmäpalvelun tarjoajan
hakemuksesta ja arviointilaitoksella on oikeus saada hakijalta kaikki
arvioinnin
edellyttämät
tiedot
vaatimuksenmukaisuustodistuksen
laatimiseksi ja ylläpitämiseksi.
Mikäli tietojärjestelmä täyttää THL:n määräyksen mukaiset vaatimukset ja
Kansaneläkelaitos on antanut puoltavan lausunnon yhteentoimivuutta
koskevien vaatimusten täyttämisestä, tietoturvallisuuden arviointilaitoksen
on
annettava
tietojärjestelmäpalvelun
tarjoajalle
vaatimuksenmukaisuustodistus ja tarkastusraportti. Todistus on voimassa
enintään viisi vuotta. Voimassaoloaika voi arviointilaitoksen harkinnan
mukaan olla lyhyempikin esimerkiksi, jos tietojärjestelmän kehitysvaiheen
tai tiedossa olevan olennaisten vaatimusten uudistamisen vuoksi on
ilmeistä, ettei tietojärjestelmä täytä olennaisia vaatimuksia ilman
merkittäviä muutoksia viittä vuotta.
6.2 Käyttöönoton jälkeinen seuranta ja laitoksen ilmoitusvelvollisuus
Tietojärjestelmäpalvelujen tarjoajan on ilmoitettava tietoturvallisuuden
arviointilaitokselle tietojärjestelmien merkittävistä poikkeamista sekä
tietojärjestelmän muutoksista. Arviointilaitoksen antama todistus on
uudistettava, jos tietojärjestelmään tehdään merkittäviä muutoksia tai
olennaisia vaatimuksia on muutettu. Jos arviointilaitos toteaa, ettei
järjestelmä enää täytä sille asetettuja vaatimuksia tai todistusta ei olisi
tullut myöntää, arviointilaitoksen on kehotettava tietojärjestelmäpalvelujen
tarjoajaa korjaamaan puutteet. Arviointilaitos voi peruuttaa todistuksen
määräajaksi tai kokonaan taikka myöntää se rajoitettuna, jollei
tietojärjestelmäpalvelujen
tarjoaja
korjaa
puutteellisuuksia
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
37 (44)
29.1.2015
arviointilaitoksen asettamassa määräajassa33. Rajoitus voi koskea
esimerkiksi todistuksen voimassaoloaikaa tai tietoja, joiden käsittelyssä
järjestelmää saa käyttää.
Tietoturvallisuuden
arviointilaitoksen
on
ilmoitettava
Sosiaalija
terveysalan lupa- ja valvontavirastolle sekä Kansaneläkelaitokselle tiedot
kaikista myönnetyistä, muutetuista, täydennetyistä, määräajaksi tai
kokonaan peruutetuista tai evätyistä vaatimuksenmukaisuustodistuksista.
Laitoksen on myös pyydettäessä annettava lupa- ja valvontavirastolle kaikki
tarvittavat lisätiedot tietojärjestelmistä, joille arviointilaitos on myöntänyt
vaatimustenmukaisuustodistuksen.
7 Arviointilaitoksen valvonta ja laadunhallinta
7.1 Arviointilaitosten ohjaus ja valvonta
Viestintävirasto
ohjaa
ja
valvoo
hyväksyttyjä
tietoturvallisuuden
arviointilaitoksia
tavoitteinaan
turvata
laadukas
ja
luotettava
tietoturvallisuuden
arviointitoiminta
sekä
varmistaa
laitosten
yhdenmukaiset toimintatavat. Ohjauksen ja valvonnan keinoja ovat
arviointilaitosten ohjeistaminen ja viranomaisneuvonta, hyväksymiseen
liittyvien ehtojen ja rajoitusten asettaminen sekä arviointilaitosten
toiminnan valvonta, jota voidaan toteuttaa esimerkiksi laitoksen toimintaan
ja tuotoksiin kohdistuvilla tarkastuksilla. Tarkastuksia voidaan toteuttaa
määräaikaistarkastuksina ja viranomaishyväksyntään tulevien tai muiden
kohteiden pistokoemaisena arvioimisena.
7.1.1 Hyväksymispäätös ja sen valvonta
Viestintävirasto hyväksyy saamiensa ja laatimiensa selvitysten perusteella
vaatimukset
täyttävän
laitoksen
arviointilaitoslaissa
tarkoitetuksi
hyväksytyksi tietoturvallisuuden arviointilaitokseksi. Hyväksyntä voidaan
antaa määräajaksi, jos siihen on erityinen syy. Tällainen syy voi olla
esimerkiksi akkreditointipäätöksen määräaikaisuus. Hyväksymispäätökseen
voidaan liittää laitoksen pätevyysaluetta, valvontaa sekä sellaisia toimintaa
koskevia rajoituksia ja ehtoja, jotka ovat tarpeen tehtävien hoidon
asianmukaiseksi varmistamiseksi
Hyväksytty arviointilaitos voi markkinoinnissaan ja muussa viestinnässään
käyttää hyväksymistä koskevaa ilmaisua, jollei hyväksymistä koskeva
määräaika ole päättynyt tai Viestintävirasto ei ole päättänyt hyväksynnän
peruuttamisesta.
7.1.2 Viestintäviraston tarkastus- ja tiedonsaantioikeus
Viestintävirastolla ja sen toimeksiannosta toimivalla asiantuntijalla on
oikeus tarkastaa hyväksyntää hakeneen tai hyväksytyn tietoturvallisuuden
arviointilaitoksen tilat sekä sen käytössä olevat menetelmät. Lisäksi
Viestintävirastolla on oikeus pyynnöstä saada arviointilaitokselta ne tiedot,
33
Määräajan pituutta määritettäessä on otettava huomioon tietojärjestelmän korjaamiseksi
tarvittava kohtuullinen aika.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
38 (44)
29.1.2015
jotka ovat tarpeen sen valvomiseksi, että laitos täyttää toimintaansa
koskevat vaatimukset.
7.1.3 Arviointilaitoksen hyväksymisen peruuttaminen
Arviointilaitoksen on tunnettava arviointitoimintaa koskeva lainsäädäntö
sekä muut toimintaan liittyvät vaatimukset. Laitoksen on myös
noudatettava mahdollisia akkreditointipäätöksen ja tietoturvallisuuden
arviointilaitoksen hyväksymispäätöksen ehtoja, rajoituksia ja muita
määräyksiä. Jos hyväksytty tietoturvallisuuden arviointilaitos toimii
olennaisesti tai jatkuvasti säännösten vastaisesti tai se ei enää täytä
hyväksymiselle asetettuja vaatimuksia, voi Viestintävirasto peruuttaa
hyväksynnän. Ennen hyväksynnän peruuttamista Viestintävirasto kehottaa
arviointilaitosta korjaamaan puute määräajassa. Peruuttamispäätöksessä
voidaan määrätä, että päätöstä noudatetaan muutoksenhausta huolimatta,
ellei muutoksenhakuviranomainen toisin määrää.
Arviointilaitoksen toimenpiteet, jotka voivat johtaa korjauspyyntöön tai
hyväksynnän peruuttaminen, arvioidaan tapauskohtaisesti. Kuitenkin
tietoturvallisuuden arviointilaitoksen tehtävien luonteen vuoksi esimerkiksi
salassapitoon ja tietoturvallisuuteen liittyvien velvoitteiden laiminlyöntejä
voidaan pitää olennaisina puutteina laitoksen toiminnassa.
7.2 Arviointilaitoksen tiedonanto- ja ilmoitusvelvollisuus
Arviointilaitoksen on ilmoitettava Viestintävirastolle sellaisesta toimintaansa
koskevasta muutoksesta, jolla on merkitystä laitosta koskevien
velvoitteiden kannalta. Epäselvissä tapauksissa muutoksista on syytä joka
tapauksessa ilmoittaa, jolloin hyväksynnän antanut viranomainen tekee
ratkaisun siitä, onko muutoksella merkitystä laitoksen velvoitteiden
kannalta.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
29.1.2015
Arviointilaitosten pätevyysvaatimukset ja toiminnan
ohjeistaminen
Akkreditointikriteerit, lainsäädännön vaatimukset
Viestintäviraston ohjeistus ja tulkintakäytännöt
Arviointilaitoksen hyväksyntä
Akkreditoinnin ja hyväksynnän ylläpito ja siihen
liittyvät valvontatoimet
Arviointilaitoksen tuotosten laadunseuranta
Viranomaishyväksyntään tulevien arviointiraporttien
seuranta ja tarvittaessa reklamointi
Kuva 6. Arviointilaitosten toiminnan laadun varmistaminen
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
39 (44)
Ohje
29.1.2015
8 Ohjeen voimaantulo
Tämä ohje tulee voimaan 7. päivänä toukokuuta 2013.
Helsingissä 7. päivänä toukokuuta 2013
9
Pääjohtaja
Asta Sihvonen-Punkka
Johtaja
Kirsi Karlamaa
LIITTEET
1. Tietoturvallisuuden arviointitoimintaa ohjaavat keskeiset normit
2. Arviointiraporttimalli
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
40 (44)
41 (44)
Ohje
29.1.2015
Liite 1. Tietoturvallisuuden arviointitoimintaa ohjaavat keskeiset
normit
Tässä liitteessä luetellaan tietoturvallisuuden arviointilaitoksen toiminnan
kannalta keskeiset normit, jotka arviointilaitoksen lukuun työskentelevien
henkilöiden on tunnettava.
I
Lainsäädäntö
•
Laki viranomaisten toiminnan julkisuudesta (621/1999)
Julkisuuslaissa säädetään viranomaisen asiakirjojen julkisuudesta ja
salassapitoperusteista sekä muista tietojen saantia koskevista yleisten ja
yksityisten etujen suojaamiseksi välttämättömistä rajoituksista.
•
Asetus viranomaisten toiminnan julkisuudesta ja hyvästä
tiedonhallintatavasta (1030/1999)
Julkisuusasetuksessa
toteuttamisesta.
•
säädetään
mm.
hyvän
tiedonhallintatavan
Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa
(681/2010)
Asetuksessa
säädetään
valtionhallinnon
viranomaisten
asiakirjojen
käsittelyä
koskevista
yleisistä
tietoturvallisuusvaatimuksista
sekä
asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen
käsittelyssä noudatettavista tietoturvallisuusvaatimuksista.
•
Laki tietoturvallisuuden arviointilaitoksista (1405/2011)
Laissa säädetään arviointilaitoksen hyväksymisvaatimuksista
menettelystä, tehtävistä sekä velvollisuuksista.
•
ja
Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen
tietoturvallisuuden arvioinnista (1406/2011)
Laissa
säädetään
viranomaisten
tietojärjestelmien
tietoliikennejärjestelyjen
tietoturvallisuuden
arvioinnista
tietoturvallisuuden arviointiperusteista.
•
-
ja
sekä
Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä
käsittelystä (159/2007)
Laissa säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelyssä
käytettävien
tietojärjestelmien
tietoturvallisuusvaatimuksista,
niiden
todentamisesta sekä hyväksytyn tietoturvallisuuden arviointilaitoksen
tehtävistä
•
•
Laki sähköisestä lääkemääräyksestä (61/2007)
Laissa säädetään sähköisestä lääkemääräyksestä, jonka laadinnassa ja
toimittamisessa käytettävät tietojärjestelmät on ennen niiden
käyttöönottoa arvioitava sosiaali- ja terveydenhuollon asiakastietojen
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
42 (44)
29.1.2015
sähköisestä käsittelystä annetun lain mukaisesti. Henkilötietolaki
(523/1999)
Laissa säädetään henkilötietojen käsittelyssä noudatettavista vaatimuksista
mukaan lukien tietoturvallisuuteen ja tietojen käsittelyä koskevat
säännökset.
•
Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004)
Laissa säädetään toimenpiteistä kansainvälisten
tietoturvallisuusvelvoitteiden mukaisten erityissuojattavien tietoaineistojen
suojaamiseksi tehtävistä tietoturvallisuustoimenpiteistä, joita ovat muun
muassa henkilö- ja yritysturvallisuusselvitykset sekä niiden perusteella
laadittavat todistukset34.
•
Turvallisuusselvityslaki (726/2014)
Laissa säädetään muun muassa henkilö- ja yritysturvallisuusselvitysten
laatimisen edellytyksistä, selvitysten laadinnassa noudatettavasta
menettelystä sekä turvallisuusselvityksen ja sen perusteella annetun
todistuksen voimassaolosta ja todistuksen peruuttamisesta.
II
Päätökset
•
•
III
FINAS-akkreditointipalvelun akkreditointipäätös ehtoineen
Viestintäviraston hyväksymispäätös ehtoineen
Ohjeet ja tulkintalinjaukset
•
•
Viestintäviraston Arviointilaitos-ohje
Tulkintalinjaukset ja muut ohjeistukset, jotka luetellaan Viestintäviraston
Internet-sivuilla tai jotka muuten on annettu tiedoksi arviointilaitoksille
Tulkintalinjaukset koskien kansallisia tietoturvallisuusvaatimuksia
Pääasiakirja: Valtiovarainministeriön ohje tietoturvallisuudesta
valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI 2/2010)
Tulkintaohjeet:
•
•
•
Sisäverkko-ohje (VAHTI 3/2010)
Teknisen ICT-ympäristön tietoturvataso-ohje (VAHTI 3/2012)
Valtionhallinnon toimitilojen tietoturvaohje (VAHTI 2/2013)
VAHTI-julkaisuissa viitataan joidenkin vaatimusten osalta Kansalliseen
turvallisuusauditointikriteeristöön
(KATAKRI).
Näiden
vaatimusten
täyttymisen todentaminen tulee toteuttaa KATAKRI:ssa kuvattujen
määritysten
mukaisesti.
Tulee
myös
huomioida,
että
viranomaishyväksynnän ehtona on hallinnollisen turvallisuuden lisäksi aina
myös teknisten suojausvaatimusten täyttäminen.
34
Niin sanotut PSC (Personal Security Clearance) ja FSC (Facility Security Clearance)
todistukset.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
43 (44)
29.1.2015
•
Terveyden ja hyvinvoinnin laitoksen määräys sosiaali- ja terveydenhuollon
järjestelmien olennaisista vaatimuksista.
Tulkintalinjaukset koskien kansainvälisiin tietoturvavelvoitteisiin
perustuvia tietoturvallisuusvaatimuksia
Pääasiakirja: KATAKRI
Tulkintaohjeet:
•
Viestintäviraston tulkintakäytännöt
Muut tietoturvallisuuteen liittyvät vaatimukset
•
ICT-varautumisen vaatimukset (VAHTI 2/2012)
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
Ohje
44 (44)
29.1.2015
Liite 2. Arviointiraporttimalli
Tietoturvallisuuden arvioinnin pohjalta on laadittava arviointiraportti, jonka
tulee pitää sisällään ainakin seuraavat kohdat riittävällä laajuudella
perusteltuina.
•
Kuvaus arvioinnin kohteesta
•
Tarkastusten tekijät
•
Tarkastusten ajankohdat
•
Käytetyt kriteeristöt
•
Kuvaus tarkastuksen rajauksista
•
Vaatimuskohtainen erittely (ohjeellinen esimerkkitoteutustapa)
Vaatimus-ID
I 401.0
Arviointitulos
OK
I 402.0
OK
Perustelu
Verkkorakenne täyttää sille asetetut vaatimukset (muista
verkoista fyysisesti eroteltu erillisverkko, johon ei ulkoisia
liittymiä, tiedon tuonti ja vienti käsitelty kohdissa I 503.0 ja
I 706.0). Asiakkaan toimittama verkkokuva taltioituna
dokumenttiin AAA. Aktiivisten skannausten sekä passiivisen
liikenneanalyysin perusteella rakennettu tekninen,
toimitetun verkkokuvan kanssa yhtenevä näkymä
verkkorakenteeseen taltioitu dokumenttiin BBB.
Ko. erillisverkossa palomuuraus III-vyöhykkeen työasemien
hankekohtaisten verkkojen, sekä hankeverkkojen ja
yhteisten palvelujen (AD, RSA, lokijärjestelmä) välillä (ks.
verkkokuva kohdasta I 401.0) sekä lisäksi
työasemakohtaisilla sovellusmuureilla.
Palomuurisäännöstöt täyttävät niille asetetut vaatimukset.
Vyöhykkeiden välisten palomuurien säännöstöt taltioitu
dokumenttiin CCC, työasemien säännöstö dokumenttiin
DDD.
Säännöstöjen toimivuus todennettu konfiguraatioon
tutustumalla, porttiskannauksilla (työasemahankeverkko
yhteiset palvelut, yhteiset palvelut
työasemaverkko,
työasemahankeverkko A
työasemahankeverkko B), sekä
vastuuhenkilöstöä haastattelemalla (muistiinpanot
dokumentissa EEE).
Tilanteissa, joissa vaatimus arvioidaan täyttyväksi alkuperäistä vaatimusta
vastaavan tasoisilla korvaavilla suojauksilla, merkitään kyseisen kohdan
arviointitulos merkinnällä "OK", "Vihreä" (tai vast. merkintä) ja
perusteluissa kuvataan asia yksityiskohtaisemmin. Tilanteissa, joissa
vaatimus täytetään alkuperäistä heikommiksi arvioiduilla korvaavilla
suojauksilla, merkitään kyseisen kohdan arviointitulos merkinnällä "Osin
OK", "Keltainen" (tai vast. merkintä) ja perusteluissa kuvataan asia
yksityiskohtaisemmin.
DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx