Ohje tietoturvallisuuden arviointilaitoksille 2 (44) Ohje 29.1.2015 Versiohistoria Versio Päiväys Kuvaus/muutos Tekijä 1.0 7.5.2013 [Ensimmäinen versio] Laura Kiviharju 2.0 29.1.2015 Luku 6, laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain muuttamisesta (250/2014) ja sähköisestä lääkemääräyksestä annetun lain muuttamisesta (251/2014) Laura Kiviharju DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 3 (44) 29.1.2015 Sisältö 1 2 3 4 Johdanto ................................................................................................... 5 1.1 Ohjeen tarkoitus ja soveltamisala ....................................................... 5 1.2 Määritelmät ...................................................................................... 5 1.3 Tietoturvallisuuden arviointitoiminnan tarkoitus .................................... 6 1.3.1 Viranomaisten yleiset tietoturvallisuusvaatimukset.................. 6 1.3.2 Viranomaisten tietojärjestelmien ja luokiteltujen asiakirjojen käsittely-ympäristöjen arviointi ............................................ 7 1.3.3 Yritysturvallisuuden edistäminen ja kehittäminen.................... 7 Tietoturvallisuustoiminnan organisointi ja vastuut ................................... 8 2.1 Arvioinnin toimeksiantaja ................................................................... 8 2.2 Salassa pidettävää tietoa käsittelevä taho ............................................ 8 2.3 Tietoturvallisuuden arviointilaitos ........................................................ 8 2.4 Viestintävirasto ................................................................................. 9 2.5 FINAS-akkreditointipalvelu ................................................................. 9 2.6 Valtiovarainministeriö ........................................................................ 9 2.7 Kansallinen turvallisuusviranomaisorganisaatio ................................... 10 Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointiperusteet . 11 3.1 Viranomaisten toimintaa koskevat kansalliset tietoturvallisuusvaatimukset .................................................................................................... 11 3.2 Kansainvälisiin tietoturvavelvoitteisiin perustuvat tietoturvallisuusvaatimukset ............................................................. 12 3.3 Muut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet ja vahvistettuun standardiin perustuvat vaatimukset .............................. 13 Arviointilaitoksen hyväksyminen ............................................................ 14 4.1 Vaatimukset tietoturvallisuuden arviointilaitokselle .............................. 14 4.1.1 Johtamis- ja tietoturvallisuuden hallintajärjestelmiä koskevien vaatimusten soveltaminen tietojärjestelmiin ja tietoliikennejärjestelyihin ................................................... 14 4.1.2 Toiminnallinen ja taloudellinen riippumattomuus................... 14 4.1.3 Laitoksen henkilökunnan pätevyys ja toiminnan edellyttämät järjestelmät ..................................................................... 16 4.1.4 Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus ...................................................................................... 16 4.1.5 Asianmukaiset ohjeet toimintaa ja sen seurantaa varten ....... 18 4.1.6 Hyvää hallintoa koskevien säännösten noudattaminen........... 18 4.2 Arviointilaitokseksi hakeutuminen ..................................................... 21 4.2.1 Akkreditoinnin hakeminen.................................................. 21 4.2.2 Hyväksynnän hakeminen Viestintävirastolta ......................... 22 DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 4 (44) 29.1.2015 5 6 7 Tietoturvallisuuden arviointimenettely ................................................... 23 5.1 Arviointityypit ................................................................................. 23 5.1.1 Tietoturvallisuuden hallintajärjestelmän arviointi .................. 23 5.1.2 Tietojenkäsittely-ympäristön arviointi .................................. 23 5.1.3 Tietojärjestelmän tai tietoliikennejärjestelyn arviointi ............ 24 5.1.4 Osittainen arviointi............................................................ 24 5.1.5 Esiarviointi ....................................................................... 24 5.2 Arviointikriteeristöt ja niiden soveltamisohjeet .................................... 24 5.2.1 Kansalliset tietoturvallisuusvaatimukset ............................... 24 5.2.2 Kansainväliset tietoturvallisuusvaatimukset.......................... 25 5.2.3 Vahvistettuun standardiin perustuvat tietoturvallisuusvaatimukset............................................... 25 5.3 Arviointimenettelyn vaiheet .............................................................. 25 5.3.1 Toimeksianto ................................................................... 26 5.3.2 Arvioinnin perustaksi otettujen tietoturvallisuutta koskevien vaatimusten toteutuminen ................................................. 27 5.3.3 Arvioinnissa sovellettava menettely .................................... 27 5.3.4 Arviointiraportti ja muut arviointiin liittyvät asiakirjat ............ 28 5.3.5 Todistuksen antaminen...................................................... 28 5.3.6 Arviointia koskevien tietojen julkaiseminen .......................... 29 5.3.7 Seurantatoimenpiteet ........................................................ 29 5.4 Arviointimenetelmät ........................................................................ 29 5.4.1 Yleisiä arviointitoiminnassa huomioitava periaatteita ............. 29 5.4.2 Hallinnolliselle todentamiselle asetettavat vähimmäisvaatimukset ...................................................... 31 5.4.3 Tekniselle todentamiselle asetettavat vähimmäisvaatimukset . 32 5.5 Arviointilaitoksen suorittaman arvioinnin suhde viranomaishyväksyntään ja viranomaisen antama todistus .......................................................... 34 Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi ...................... 35 6.1 Tietoturvallisuuden arvioinnin suorittaminen ja todistuksen antaminen .. 36 6.2 Käyttöönoton jälkeinen seuranta ja laitoksen ilmoitusvelvollisuus .......... 36 Arviointilaitoksen valvonta ja laadunhallinta .......................................... 37 7.1 Arviointilaitosten ohjaus ja valvonta .................................................. 37 7.1.1 Hyväksymispäätös ja sen valvonta ...................................... 37 7.1.2 Viestintäviraston tarkastus- ja tiedonsaantioikeus ................. 37 7.1.3 Arviointilaitoksen hyväksymisen peruuttaminen .................... 38 7.2 Arviointilaitoksen tiedonanto- ja ilmoitusvelvollisuus............................ 38 8 Ohjeen voimaantulo................................................................................ 40 9 LIITTEET ................................................................................................. 40 Liite 1. Tietoturvallisuuden arviointitoimintaa ohjaavat keskeiset normit...... 41 Liite 2. Arviointiraporttimalli .......................................................................... 44 DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx 5 (44) Ohje 29.1.2015 1 Johdanto 1.1 Ohjeen tarkoitus ja soveltamisala Tässä ohjeessa kuvataan tietoturvallisuuden arviointilaitoksen rooli ja tehtävät tietoturvallisuuden arviointitoiminnassa. Ohjeessa kuvataan arviointilaitosten toimintaa koskevat vaatimukset ja tietoturvallisuuden arviointia koskeva menettely. Hyväksytyn tietoturvallisuuden arviointilaitoksen on aina tunnettava sen toimintaan liittyvä voimassa oleva lainsäädäntö ja muut toimintaa kokevat vaatimukset. Tätä ohjeetta sovelletaan myös tietoturvallisuuden arviointilaitosten hyväksymismenettelyssä. 1.2 Määritelmät Akkreditointi arviointielimen pätevyyden toteaminen yhdenmukaisten kansainvälisten tai eurooppalaisten arviointiperusteiden mukaisesti. Arvioinnin kohde tietojärjestelmä, tietoliikennejärjestely taikka tietojenkäsittely-ympäristö tai hallintajärjestelmä, jossa salassa pidettävää tietoa käsitellään Arviointilaitoslaki (22.12.2011/1405) laki tietoturvallisuuden arviointilaitoksista ISO 17021 standardi SFS-EN ISO/IEC 17021:2011 Vaatimustenmukaisuuden arviointi. Vaatimukset johtamisjärjestelmiä auditoiville ja sertifioiville elimille. Conformity assessment. Requirements for bodies providing audit and certification of management systems ISO 27006 standardi ISO/IEC 27006:2011 Information technology Security techniques - Requirements for bodies providing audit and certification of information security management systems Julkisuuslaki laki viranomaisten toiminnan julkisuudesta (21.5.1999/621) Julkisuusasetus asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (12.11.1999/1030) Tietojärjestelmä tietojenkäsittelylaitteista, ohjelmistoista tietojenkäsittelystä koostuva kokonaisjärjestely ja muusta Tietoliikennejärjestely tiedonsiirtoverkosta, tiedonsiirtolaitteista, ohjelmistoista ja muista tietojenkäsittelystä koostuvista järjestelyistä muodostuva järjestelmä Tietoturvallisuuden arviointilaitos Viestintäviraston hyväksymä elinkeinonharjoittaja tai palvelutehtäviä julkishallinnolle tarjoava yksikkö, joka toimeksiannosta arvioi tietoturvallisuustason DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx 6 (44) Ohje 29.1.2015 Tietoturvallisuuden arviointikriteeristö vaatimuskriteeristö, jota sovelletaan tietoturvallisuuden arvioinnissa ja joihin arviointilaitos voi hakea akkreditointia ja Viestintäviraston hyväksyntää Tietoturvallisuuden arviointiperuste Arvioinnin perustaksi otetut arviointilaitoslain 10 §:n mukaiset tietoturvallisuutta koskevat vaatimukset Tietoturvallisuus tietojen salassapitovelvollisuuden ja käyttörajoitusten noudattamiseksi sekä tietojen saatavuuden, eheyden ja käytettävyyden varmistamiseksi toteutettavat hallinnolliset, tekniset ja muut toimenpiteet ja järjestelyt Tietoturvallisuusasetus valtioneuvoston valtionhallinnossa (1.7.2010/681) asetus tietoturvallisuudesta Valtionhallinnon viranomainen valtion hallintoviranomainen, muu valtion virasto tai laitos taikka tuomioistuin tai lainkäyttöviranomainen Viranomaishyväksyntä Tietojärjestelmää, tietoliikennejärjestelyä tai tietojenkäsittely-ympäristöä koskeva toimivaltaisen turvallisuusviranomaisen virallinen hyväksyntä 1.3 Tietoturvallisuuden arviointitoiminnan tarkoitus Tietoturvallisuuden arviointi on väline sen toteamiseksi, täyttääkö arvioinnin kohde tietoturvallisuutta koskevat vaatimukset. Arvioinnin kohteena voi olla tietojenkäsittely-ympäristö ja sen toteutus, tietojärjestelmä tai tietoliikennejärjestely taikka tietoturvallisuuden hallintajärjestelmä. Mikäli arvioinnin tavoitteena on arviointilaitoksen antaman todistuksen saaminen ja viranomaishyväksynnän saavuttaminen, tietoturvallisuuden arviointimenettelyn avulla pyritään hankkimaan varmuus ja luottamus siitä, että tietoturvallisuudelle asetetut vaatimukset täyttyvät. Organisaation tietoturvallisuutta kehitettäessä arvioinnin tavoitteena voi olla myös sen selvittäminen, miltä osin tietoturvallisuusvaatimukset täyttyvät. 1.3.1 Viranomaisten yleiset tietoturvallisuusvaatimukset Valtionhallinnon viranomaisen on suunniteltava toimintansa tietoturvallisuus hyvän tiedonhallintatavan mukaisesti ja toteutettava tietoturvallisuusasetuksen edellyttämät toimenpiteet tietoturvallisuuden perustason toteuttamiseksi. Viranomaisten on suunniteltava ja toteutettava tietoturvallisuustoimenpiteet siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet. Suunnittelussa on pidettävä huolta siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta. Tietoturvallisuusasetus edellyttää, että valtionhallinnon viranomainen toteuttaa tietoturvallisuuden perustason vaatimukset1 1.10.2013 mennessä 1 Tietoturvallisuusasetus 2 luku Yleiset tietoturvallisuusvaatimukset DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 7 (44) 29.1.2015 ja luokiteltuja tietoja koskevat käsittelyvaatimuksen viiden kuluessa siitä, kun viranomainen on tehnyt luokittelupäätöksen. vuoden 1.3.2 Viranomaisten tietojärjestelmien ja luokiteltujen asiakirjojen käsittelyympäristöjen arviointi Tietoturvallisuuden arviointi on keino viranomaisille varmistua siitä, että sen määräämisvallassa olevat ja hankittavaksi suunnittelemat tietojärjestelmät täyttävät tietoturvallisuutta koskevat vaatimukset. Arvioinnin avulla voidaan myös todentaa luokiteltujen tietojen käsittelyä koskevien vaatimusten täyttyminen tietyssä tiedonkäsittely-ympäristössä. Viranomaisten tietojärjestelmiin liittyvien tietoturvallisuuden arviointipalvelujen käyttämisestä säädetään viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annetussa laissa2. Tietoturvallisuuden arvioinnilla viranomainen voi selvittää, täyttääkö sen käytössä olevat tietojärjestelmät kansallisen lain mukaiset vaatimukset tai silloin, kun järjestelmässä käsitellään kansainvälistä luokiteltua tietoa, kansainväliset tietoturvallisuusvaatimukset. Lain tarkoituksena on muun muassa varmistaa, että valtionhallinnon viranomaiset käyttävät vain luotettavia ulkopuolisia tietoturvallisuuden arviointipalveluja, ja 1.6.2015 lukien valtionhallinnon viranomaiset voivatkin käyttää tietojärjestelmiensä arvioinnissa vain Viestintäviraston tai sen hyväksymän arviointilaitoksen suorittamaa arviointia. Viranomaisen hankintojen yhteydessä tietoturvallisuuden arviointia voidaan käyttää ennen salassa pidettävän tiedon luovuttamista sen todentamiseen, täyttääkö tarjouskilpailuun osallistuvan tarjoajan tai voittajaksi valitun toimittajan tietojenkäsittely-ympäristö vaaditun tietoturvallisuuden tason. Arviointia voidaan siten hyödyntää tietojärjestelmäja tietoliikennejärjestelyhankintojen ohella myös muissa hankinnoissa, joiden kilpailuttamisen yhteydessä tai sopimuskaudella käsitellään viranomaisen salassa pidettävää tietoa. Tietoturvallisuuden vaatimuksenmukaisuuden todentamista voidaan käyttää esimerkiksi puolustusja turvallisuushankinnoissa, joissa tietoturvallisuuteen liittyvillä vaatimuksilla voi olla olennainen merkitys hankinnan toteuttamisessa. 1.3.3 Yritysturvallisuuden edistäminen ja kehittäminen Tietoturvallisuuden arviointimenettely antaa yrityksille mahdollisuuden osoittaa toimintansa tietoturvallisuuden taso ulkopuolisen ja luotettavan arvioinnin avulla. Vaikka yrityksiä koskevan turvallisuusselvityksen laatiminen kuuluu viranomaiselle, voivat yritykset käyttää arviointilaitoksen suorittamaa tietoturvallisuuden arviointia varautuessaan kansainvälisiin hankintakilpailuihin sekä julkisiin puolustus- tai turvallisuushankintaa koskevaan tarjouskilpailuun, joissa edellytetään viranomaisen laatimaa turvallisuusselvitystä3. 2 22.12.2011/1406 Turvallisuusviranomaisen suorittama yhteisöturvallisuusselvitys voidaan tehdä, kun elinkeinonharjoittaja on sopimusosapuolena turvallisuusluokitellussa sopimuksessa, osallistuu 3 DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 8 (44) 29.1.2015 Yritys voi käyttää esimerkiksi Kansallista turvallisuusauditointikriteeristöä (KATAKRI) tietoturvallisuuden kehittämisen keinona. Arviointi voidaan silloin toteuttaa myös säännöllisin väliajoin tai arvioinnin toimeksiantajan niin halutessa aina erityisen tarpeen ilmetessä esimerkiksi organisaatiomuutosten yhteydessä. 2 Tietoturvallisuustoiminnan organisointi ja vastuut 2.1 Arvioinnin toimeksiantaja Arvioinnin toimeksiantaja on taho, jonka aloitteesta arviointilaitoksen suorittama arviointi käynnistyy eli toimeksiantaja on arviointilaitoksen asiakas. Viranomaisen tietojärjestelmää koskevassa arvioinnissa arvioinnin toimeksiantajana on aina viranomainen, jonka määräämisvallassa järjestelmä on tai joka suunnittelee arvioinnin kohteena olevan järjestelmän hankintaa. Toimeksiantajana voi olla myös viranomaisen valtuuttama taho, joka on viranomaisen lukuun hankintoja tekevä taikka tietojenkäsittely- ja tietoliikennepalveluja tuottava tai niiden järjestämiseen liittyviä palvelutehtäviä hoitava taho. Arvioinnin toimeksiantaja vastaa arvioinnin tavoitteiden määrittämisestä, arviointiperusteena käytettävän arviointikriteeristön ja sovellettavan suojaustason valinnasta sekä arvioinnin kohteen määrittelystä yhteistyössä arviointilaitoksen kanssa. 2.2 Salassa pidettävää tietoa käsittelevä taho Salassa pidettävää tietoa käsittelevä taho voi olla viranomainen tai sen toimeksiannosta tietojenkäsittelytehtävää hoitava taho. Salassa pidettävää tietoa käsittelevä taho vastaa tietoturvallisuusvaatimusten noudattamisesta ja tietoturvallisuustoimenpiteiden toteuttamisesta arvioinnin kohteessa. 2.3 Tietoturvallisuuden arviointilaitos Tietoturvallisuuden arviointilaitos arvioi toimeksiannosta arvioinnin kohteen tietoturvallisuustason. Arviointilaitoksen tulee arvioinnissa selvittää, onko arvioinnin kohteen toiminnassa asianmukaisella tavalla toteutettu ne tietoturvallisuutta koskevat vaatimukset, jotka ovat otettu arvioinnin perustaksi. Arviointilaitos voi myös antaa arvioinnin kohteelle todistuksen sen osoittamiseksi, että arvioinnin kohteen toiminta ja toimitilat täyttävät ne tietoturvallisuusvaatimukset, jotka ovat otettu arvioinnin perustaksi. tällaista sopimusta edeltävään tarjouskilpailuun tai toimii tällaisen elinkeinon harjoittajan alihankkijana. Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jonka toisena osapuolena on toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin ja kun tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon. Yhteisöturvallisuusselvitys voidaan tehdä myös silloin, kun elinkeinonharjoittaja osallistuu julkisista puolustus- ja turvallisuushankinnoista annetussa laissa (1531/2011) tarkoitettuun tarjouskilpailuun tarjoajana tai alihankkijana ja saa, laatii tai muutoin käsittelee tarjouskilpailun tai hankinnan toteuttamiseksi luokiteltuja tietoja (laki kansainvälisistä tietoturvallisuusvelvoitteista 1 §). DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 9 (44) 29.1.2015 Arviointilaitoksen tulee toiminnassaan noudattaa lainsäädännössä, akkreditoinnissa sovellettavissa standardeissa, Viestintäviraston ohjeissa ja arviointilaitoksen hyväksymispäätöksessä asetettuja vaatimuksia. 2.4 Viestintävirasto Viestintävirasto toimii Suomen määrättynä turvallisuusviranomaisena ja kansallisena tietoturvaviranomaisena (NCSA, National Communications Security Authority), joka vastaa turvaluokitellun aineiston sähköiseen tiedonsiirtoon ja -käsittelyyn liittyvistä turvallisuusasioista. Viestintävirasto vastaa muun muassa salausteknisen aineiston jakeluverkon hallinnoinnista, salaustuotteiden hyväksynnästä turvaluokitellun tiedon suojaamiseksi Suomessa, kansainvälistä turvallisuusluokiteltua tietoa käsittelevien tietojärjestelmien hyväksynnästä sekä kansallisen hajasäteilytoiminnan koordinoinnista ja ohjauksesta. Viestintävirasto toimii myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen hyväksyntäviranomaisena sekä vastaa tietoturvallisuuden arviointilaitosten hyväksymisestä, ohjaamisesta ja valvonnasta. 2.5 FINAS-akkreditointipalvelu Mittatekniikan keskuksen akkreditointiyksikkö eli FINASakkreditointipalvelu toimii Suomessa kansallisena akkreditointielimenä ja vastaa akkreditoinnista eli arviointielinten pätevyyden toteamisesta yhdenmukaisten arviointiperusteiden mukaisesti. Akkreditoinnin tarkoituksena on varmistaa vaatimustenmukaisuuden arviointipalvelujen luotettavuus ja kansainvälinen hyväksyttävyys. FINAS-akkreditointipalvelu arvioi osana arviointilaitoksen hyväksymismenettelyä tietoturvallisuuden arviointilaitoksen toiminnan riippumattomuuden, henkilökunnan koulutuksen ja kokemuksen sekä sen, että laitoksella on toiminnan edellyttämät laitteet, välineet ja järjestelmät. FINAS-akkreditointipalvelu vastaa myös akkreditoimiensa laitosten pätevyyden seurannasta. 2.6 Valtiovarainministeriö Valtiovarainministeriö ohjaa ja yhteen sovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ohjausja yhteensovittamisroolinsa toteuttamiseksi valtiovarainministeriö asettaa ja ylläpitää toimialallaan yhteistyön ohjaamiseen, kehittämiseen ja koordinaatioon tarvittavat toimielimet. Valtiovarainministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden linjaukset. Valtionvarainministeriö voi pyytää valtionhallinnon tietoturvallisuudesta annettujen säännösten täytäntöönpanon seuraamiseksi sekä niiden kehittämiseksi Viestintävirastolta selvityksiä valtionhallinnon viranomaisten DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 10 (44) 29.1.2015 tietojärjestelmien ja tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta. 2.7 Kansallinen turvallisuusviranomaisorganisaatio Ulkoasiainministeriö toimii kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa Suomen kansallisena turvallisuusviranomaisena. Kansallisen turvallisuusviranomaisen tehtävänä on erityisesti ohjata ja valvoa, että ulkomailta Suomeen luovutetut niin sanotut erityissuojattavat tietoaineistot suojataan ja niitä käsitellään asianmukaisesti. Kansallinen turvallisuusviranomainen vastaa kansainvälisten tietoturvallisuusvelvoitteiden toteuttamista koskevien ohjeiden antamisesta. Puolustusministeriö, pääesikunta, suojelupoliisi ja Viestintävirasto toimivat kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina ja huolehtivat henkilöiden ja elinkeinonharjoittajien luotettavuuden selvittämisestä. Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen asiantuntijoina henkilöstö-, yhteisö- ja toimitilaturvallisuutta koskevissa asioissa sekä Viestintävirasto tietojärjestelmien ja tietoliikenteen tietoturvallisuutta koskevissa asioissa. Kuva 1. Tietoturvallisuuteen liittyvät toimijat DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx 11 (44) Ohje 29.1.2015 3 Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointiperusteet Tietoturvallisuuden arviointiperusteilla tarkoitetaan niitä tietoturvallisuutta koskevia vaatimuksia, joiden perusteella tietoturvallisuuden arviointi suoritetaan. Näitä arviointiperusteita ovat 1) lailla tai asetuksella säädettyjä viranomaisen toimintaa koskevia tietoturvallisuusvaatimuksia ja valtiovarainministeriön tietoturvallisuutta koskevia ohjeita; 2) kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen antamia kansainvälisten tietoturvavelvoitteiden toteuttamista koskevia ohjeita; 3) Euroopan unionin tai muun kansainvälisen toimielimen antamia tietoturvallisuutta koskevia ohjeita; 4) julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita; ja 5) vahvistettuun vaatimuksia. standardiin sisältyviä tietoturvallisuutta koskevia 3.1 Viranomaisten toimintaa koskevat kansalliset tietoturvallisuusvaatimukset Tietoturvallisuuden arviointi voi perustua kansallisessa lainsäädännössä eli Suomen lailla tai asetuksella säädettyihin viranomaisen toimintaa koskeviin tietoturvallisuusvaatimuksiin ja valtiovarainministeriön tietoturvallisuutta koskeviin ohjeisiin. Suomalaisten viranomaisten asiakirjojen salassapidosta ja hyvästä tiedonhallintatavasta säädetään julkisuuslaissa ja julkisuusasetuksessa. Hyvän tiedonhallintatavan toteuttamiseksi viranomaisten on huolehdittava asiakirjojen ja tietojärjestelmien sekä niihin liittyvien tietojen asianmukaisesta saatavuudesta, käytettävyydestä ja suojaamisesta sekä eheydestä ja muusta tietojen laatuun vaikuttavista tekijöistä. Viranomaisen on hyvän tiedonhallintatavan toteuttamiseksi myös selvitettävä ja arvioitava tietojen saatavuuteen, käytettävyyteen, laatuun ja suojaan sekä tietojärjestelmien turvallisuuteen vaikuttavat uhat sekä niiden vähentämiseksi ja poistamiseksi käytettävissä olevat keinot ja niiden kustannukset sekä muut vaikutukset. Lisäksi viranomaisen on selvitysten perusteella arvioitava ja toteutettava tarvittavat toimenpiteet hyvän tiedonhallintatavan toteuttamiseksi.4 Tietoturvallisuusasetuksessa säädetään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista eli 4 Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (12.11.1999/1030) DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 12 (44) 29.1.2015 suojaustasojen mukaisista käsittelyvaatimuksista. Asetus edellyttää, että tietoturvallisuustoimenpiteet suunnitellaan ja toteutetaan siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet niiden laatimisesta tai vastaanottamisesta arkistointiin tai hävittämiseen mukaan lukien asiakirjan luovuttaminen ja siirtäminen sekä käsittelyn valvonta. Suunnittelussa on myös huolehdittava siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta eli kun yksityinen taho käsittelee viranomaisen asiakirjoja. Tietoturvallisuusasetuksen mukaisia vaatimuksia täsmennetään valtiovarainministeriön ohjeilla, jotka koskevat tietoturvallisuusasetuksen täytäntöönpanoa. Tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanoa koskevaa koskevia määritettyjä ohjeita (VAHTI 2/2010, VAHTI 3/2010, VAHTI 3/2012, VAHTI 2/2013) sovelletaan tietoturvallisuuden arviointiperusteena silloin, kun arvioinnin kohde käsittelee Suomen viranomaisen salassa pidettävää tietoa eli kun salassapito perustuu julkisuuslakiin. 3.2 Kansainvälisiin tietoturvavelvoitteisiin perustuvat tietoturvallisuusvaatimukset Kun taho, jolla on määräysvalta salassa pidettävään tietoon, on toisen valtion viranomainen tai siellä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin ja Suomella on tietoturvallisuusvaltiosopimus kyseisen toisen valtion tai toimielimen kanssa, sovelletaan tiedon salassapitoon ja tietoturvallisuustoimenpiteisiin lakia kansainvälisistä tietoturvallisuusvelvoitteista5. Tiedon käsittelyyn sovelletaan tällöin kansallisten tietoturvallisuusvaatimusten lisäksi aina soveltuvaan valtiosopimukseen tai muuhun Suomea koskevaan velvoitteeseen eli kansainväliseen tietoturvallisuusvelvoitteeseen sisältyviä määräyksiä6. Erityissuojattavaa tietoaineistoa eli kansainvälisen tietoturvallisuusvelvoitteen mukaisesti turvallisuusluokiteltuja asiakirjoja ja materiaaleja luotaessa, kopioitaessa, siirrettäessä, jaettaessa, säilytettäessä, hävitettäessä tai muutoin käsiteltäessä on pidettävä huolta, että tietoaineiston suojaamisesta voidaan huolehtia tietoaineiston turvallisuusluokkaa vastaavalla tavalla. Erityissuojattava tietoaineisto on säilytettävä tiloissa, joissa asiakirjojen ja niihin sisältyvien tietojen suojaamisesta voidaan huolehtia valtiosopimuksessa edellytetyllä tavalla. 5 Laki 24.6.2004/588 Kansainvälisellä tietoturvallisuusvelvoitteella sellaista Suomea sitovaan kansainväliseen sopimukseen sisältyvää määräystä sekä sellaista muuta Suomea koskevaa velvoitetta, jota Suomen on noudatettava ja joka koskee erityissuojattavan aineiston suojaamiseksi tarvittavia toimenpiteitä. Tällaisia velvoitteita ovat Suomea sitovien turvallisuusluokitellun tiedon suojaamista koskevien valtiosopimusten ohella muun muassa Euroopan neuvoston päätös turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi (Neuvoston päätös 31.3.2011 (2011/292/EU). Suomea sitovat valtiosopimukset [linkki]. 6 DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 13 (44) 29.1.2015 Kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvien tietoturvallisuusvaatimusten todentamisessa tietoturvallisuuden arviointiperusteena käytetään kansallista turvallisuusauditointikriteeristöä (KATAKRI). Kyseistä kriteeristöä siis käytetään vaatimustasona niissä arvioinneissa, joiden tarkoituksena on todentaa, täyttyvätkö kansainväliset tietoturvallisuusvaatimukset. Erityissuojattavan tietoaineiston käsittely edellyttää viranomaishyväksyntää (katso kappale 5.8) ja kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvien turvallisuusselvitysten tekemisestä vastaa aina toimivaltainen turvallisuusviranomainen. Kuva 2. Tietoturvallisuuslainsäädäntö ja tietoturvallisuuden arviointi 3.3 Muut tietoturvallisuutta koskevat säännökset, määräykset tai ohjeet ja vahvistettuun standardiin perustuvat vaatimukset Tietoturvallisuuden arviointi voi perustua myös muihin kuin lainsäädännöstä johtuviin vaatimuksiin. Tietoturvallisuustasoa osoittavana perustana voidaan käyttää julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia säännöksiä, määräyksiä tai ohjeita taikka vahvistettuun standardiin sisältyviä tietoturvallisuutta koskevia vaatimuksia. Tällainen vahvistettu standardi on esimerkiksi tietoturvallisuuden hallintajärjestelmiä koskeva kansainvälinen standardi ISO 270017, joka toimii mallina tietoturvallisuuden hallintajärjestelmän kehittämiselle, toteuttamiselle, käyttämiselle, valvomiselle, katselmoinnille, ylläpitämiselle ja parantamiselle. 7 ISO/IEC 27001:2005 Information technology. Security techniques. Information security management systems. Requirements DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 14 (44) 29.1.2015 4 Arviointilaitoksen hyväksyminen 4.1 Vaatimukset tietoturvallisuuden arviointilaitokselle Tietoturvallisuuden arviointilaitoksen hyväksymisen edellytyksenä on, että laitos täyttää arviointilaitoslain 5 §:n mukaiset hyväksymiskriteerit. Arviointilaitoksen akkreditoinnissa sovelletaan tätä ohjetta sekä standardeiden ISO 17021 ja ISO 27006 vaatimuksia. Kyseisissä standardeissa yksilöidään vaatimukset tietoturvallisuuden johtamisjärjestelmiä auditoiville ja sertifioiville elimille. 4.1.1 Johtamis- ja tietoturvallisuuden hallintajärjestelmiä koskevien vaatimusten soveltaminen tietojärjestelmiin ja tietoliikennejärjestelyihin Akkreditointimenettelyssä sovellettavat standardit ISO 17021 ja ISO 27006 koskevat johtamisjärjestelmien ja tietoturvallisuuden hallintajärjestelmien sertifiointia. Tietoturvallisuuden arviointilaitokset arvioivat kuitenkin hallintajärjestelmien myös yksittäisiä tietojärjestelmiä ja tietoliikennejärjestelyjä. Niiltä osin kuin näissä standardeissa asetetaan vaatimuksia koskien johtamisjärjestelmää, hallintajärjestelmä (management system) tai tietoturvallisuuden hallintajärjestelmää (information security management system, ISMS), sovelletaan näitä vaatimuksia soveltuvin osin myös tietojärjestelmään ja tietoliikennejärjestelyyn. Tällaisia vaatimuksia ovat esimerkiksi vaatimukset koskien konsultointia ja puolueettomuuden hallintaa8, pätevyyttä9, muutoksista ilmoittamista10 ja auditointiprosessia11. 4.1.2 Toiminnallinen ja taloudellinen riippumattomuus Tietoturvallisuuden arviointilaitoksen tulee olla toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteena olevista tahoista. Puolueettomuutta koskevat periaatteet ja puolueettomuuden hallintaa koskevat vaatimukset ovat määritelty arviointilaitosten akkreditointimenettelyssä sovellettavissa standardeissa ISO 17021 ja ISO 27006, jotka sisältävät muun muassa vaatimuksia liittyen hallintajärjestelmien konsultointitoimintaan. Arviointilaitoksen on noudatettava myös viranomaistoimintaa koskevia hyvän hallinnon vaatimuksia. Näihin kuuluvat muun muassa esteellisyyssäännökset, jotka täydentävät arviointilaitoksen riippumattomuusvaatimuksia. Tietoturvallisuuden arviointilaitoksen riippumattomuus edellyttää, että laitos ei tarjoa sellaisia konsultointipalveluja, jotka koskevat tietoturvallisuuden hallintajärjestelmiä eikä myöskään konsultointia koskien 8 Esimerkiksi ISO 17021 3.3 Johtamisjärjestelmäkonsultointi, 5.2 Puolueettomuuden hallinta, ISO 27006 5.2 Management of impartiality 9 Esimerkiksi ISO 17021 7.1 Johdon ja henkilöstön pätevyys, ISO 27006 7 Resource requirements 10 ISO 17021 8.6.3 Asiakkaan tekemistä muutoksista tiedottaminen 11 Esimerkiksi ISO 17021 9.1.2 Auditointisuunnitelma, ISO 17021 9.1.4 Auditointiajan määrittäminen, ISO 9.1.6 Auditointiryhmien tehtävien viestiminen, ISO 27006 9.1 General requirements, ISO 27006 9.2 Inital audit and certification. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 15 (44) 29.1.2015 tietojärjestelmiä tai tietoliikennejärjestelmiä. Riippumattomuutta koskevat vaatimukset koskevat arviointilaitoksen toimintaa, eikä riippumattomuuden turvaamiseksi siten riitä pelkästään se, että riippumattomuus toteutuu yksittäisen arviointilaitoksen lukuun työskentelevän henkilön kohdalla. Arviointilaitoksen tulee myös olla erillinen ja riippumaton sellaisista tahoista, jotka suorittavat arvioinnin kohteessa tietoturvallisuuden hallintajärjestelmän, tietojärjestelmän tai tietoliikennejärjestelyn sisäisiä auditointeja tai arviointeja. Laitoksen on puolueettomuuden hallintaa koskevien vaatimusten mukaisesti aina tunnistettava, analysoitava ja dokumentoitava mahdolliset arviointitoiminnan eturistiriidat ja puolueettomuutta uhkaavat tekijät. Akkreditointistandardi ISO 27006:ssa on lueteltu toimintoja, jotka ovat sallittuja arviointilaitoksille ilman, että niiden katsottaisiin olevan konsultointia tai rikkovan puolueettomuutta koskevia vaatimuksia. Tietoturvallisuuden arviointilaitos voi järjestää sen pätevyysalueeseen liittyvää koulutusta tai laitoksen lukuun toimiva henkilö voi osallistua luennoitsijana tällaiseen koulutukseen, kun koulutuksen sisältö koostuu yleisestä informaatiosta eikä sisällä yritys- tai asiakaskohtaista neuvontaa. Koulutuksen tulee myös olla julkisesti saatavilla ja avoin kaikille halukkaille osallistujille. Lisäksi toiminnot, joiden tavoitteena on määritellä valmius arviointiin, ovat tietyin edellytyksin sallittuja arviointilaitoksille. Auditointivalmiuden selvittäminen ei saa johtaa suosituksiin tai neuvontaan, jotka voidaan katsoa konsultoinniksi tai uhkaavan puolueettomuutta, ja arviointilaitoksen tulee pystyä osoittamaan, etteivät tällaiset toiminnot ole muutenkaan ristiriidassa puolueettomuutta koskevien vaatimusten kanssa. Valmiuden määrittämisellä ei voida perustella arviointiajan lyhentämistä vaan sen tarkoituksena on ainoastaan selvittää, onko arvioinnin kohteen kypsyystaso riittävä arviointiin. Auditointivalmiuden selvittämiseksi tehtävän esiarvioinnin osalta katso kohta 5.1.5. Arviointilaitos voi arvioinnin yhteydessä yksilöidä ja osoittaa arvioinnin kohteelle mahdollisuuksia parantaa sen toimintaa tai esittää muita huomioita, joiden tarkoituksena on arvioinnin kohteen toiminnan kehittäminen, kun tällaiset huomiot tulevat esille arvioinnin ja arviointikäyntien yhteydessä. Arviointilaitoksen tulee kuitenkin pidättyä tiettyjen konkreettisten ratkaisuehdotusten tarjoamisesta. Arviointilaitoksen neuvontavelvollisuuden osalta katso kohta 4.1.6.1.3. Riippumattomuusvaatimusten lisäksi arviointilaitoksen on toiminnassaan noudatettava hallintolain mukaisia esteellisyyssäännöksiä, jotka ovat luonteeltaan henkilökohtaisia eli tiettyä arviointilaitoksen lukuun työskentelevää henkilöä koskevia esteellisyysperusteita. Nämä esteellisyysvaatimukset kohdistuvat kaikkiin arviointilaitoksen lukuun työskenteleviin henkilöihin riippumatta siitä, ovatko nämä henkilöt työsopimussuhteen perusteella laitoksen palveluksessa vai perustuuko työskentely esimerkiksi toimeksiantosopimukseen. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 16 (44) 29.1.2015 4.1.3 Laitoksen henkilökunnan pätevyys ja toiminnan edellyttämät järjestelmät Tietoturvallisuuden arviointilaitoksen tulee standardien ISO 17021 ja ISO 27006 mukaisesti varmistua siitä, että sillä on käytössään jatkuvasti sellaiset henkilö- ja muut resurssit, joilla turvataan luotettavan ja pätevän tietoturvallisuuden arviointitehtävän suorittaminen. Pätevyys edellyttää todennettua hyvää teknistä osaamista ja riittävän laaja-alaista kokemusta arviointitoimintaan kuuluvissa tehtävissä, mistä osoituksena voi olla esimerkiksi tietoturvallisuusalaan liittyvä koulutus ja riittävä työkokemus arviointitoiminnassa. Tietty koulutusohjelma tai tutkinto ei ole ehdoton vaatimus arviointilaitoksen henkilöstölle. Pätevyyden arvioinnissa otetaan huomioon kaikki arviointilaitokseksi hakevan esittämä näyttö, jonka perusteella arvioidaan, täyttyvätkö resurssivaatimukset. Arviointilaitoksella on oltava käytettävissään myös toiminnan edellyttämät laitteet, välineet, menetelmät ja järjestelmät, jotka ovat tarpeen tietoturvallisuuden arviointitehtävän suorittamiseen. Pätevyyden arvioinnissa arviointilaitoksen tulee uskottavasti osoittaa, että sillä on riittävät hallinnolliset ja tekniset todennusmenetelmät haettavaan pätevyysalueeseen liittyvien arviointien suorittamiseksi. Kyky tehdä KATAKRI- ja VAHTI-arviointeja on osoitettava kaikkien näihin kriteeristöihin kuuluvien vaatimusten osalta, ja nämä menettelyt tulee käydä ilmi myös arviointilaitoksen toimintaa koskevista ohjeista. Osana pätevyyden arviointia arviointilaitoksen tulee osoittaa myös, että sillä on käytössään arviointitoiminnan edellyttämät laitteet, välineet ja järjestelmät. Arviointilaitoksella tulee olla käytössään sellaiset laitteet, välineet ja järjestelmät, joilla voidaan suorittaa arviointitoimeksiannot sekä suojata toimeksiantojen yhteydessä saatavat tiedot. Tietojenkäsittelyn turvallisuutta koskevat vaatimukset todennetaan KATAKRI-kriteeristön perusteella. 4.1.4 Vastuuhenkilöiden luotettavuus ja tietojenkäsittelyn turvallisuus Tietoturvallisuuden arviointilaitoksen vastuuhenkilöiden tulee olla luotettavaksi todettuja henkilöitä. Vastuuhenkilöiksi katsotaan laitoksen kaupparekisteriotteessa ilmoitetut henkilöt ja laitoksen ylin johto12. Arviointilaitos käsittelee arviointitoiminnan yhteydessä arvioinnin kohteiden salassa pidettävää tietoa, ja laitoksella tulee olla kyky käsitellä tällaista tietoa sille asetettujen suojausvaatimusten mukaisesti. Arviointilaitoksella on oltava luotettavaksi arvioitu ja valvottu menetelmä, jonka avulla laitoksen toimitilojen ja tietojenkäsittelyn turvallisuus varmistetaan. Luottamuksellisen tiedon turvallista käsittelyä koskevat vaatimukset todennetaan Kansallisen turvallisuusauditointikriteeristön (KATAKRI) kulloinkin voimassa olevan version avulla ja arviointilaitoksen on täytettävä KATAKRI:n hallinnollista turvallisuutta, henkilöstöturvallisuutta, fyysistä 12 Henkilöt, jotka vastaavat ISO 17021 6.1.2 kohdan mukaisista tehtävistä. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 17 (44) 29.1.2015 turvallisuutta sekä tietoturvallisuutta koskevien osa-alueiden mukaiset vaatimukset. Vaatimusten täyttäminen tarkoittaa käytännössä muun muassa sitä, että laitos on määritellyt sen turvallisuustoimintaa koskevat periaatteet, turvallisuusorganisaation sekä siihen liittyvät vastuut, sillä on riittävät menetelmät riskien tunnistamiseksi, arvioimiseksi ja poikkeustilanteiden hallitsemiseksi. Laitoksen toimitilojen on puolestaan täytettävä KATAKRI:ssa luetellut vaatimukset koskien aluetta, fyysisiä rakenteita ja turvallisuusteknisiä järjestelmiä. Henkilöstöturvallisuusvaatimukset edellyttävät muun muassa sitä, että arviointitoiminnassa käytetään vain sellaisia henkilöitä, jotka ovat antaneet asianmukaiset salassapitositoumukset sekä läpäisseet riittävät turvallisuusselvitykset13. Arviointilaitos voi toiminnassaan käyttää vain sellaisia henkilöitä, joiden osalta turvallisuusselvitystä tehtäessä ei ole tullut esiin mitään sen tarkoituksen kannalta merkityksellistä tietoa. Mikäli turvallisuusselvityksen perusteella tulee esiin tietoja, on arviointilaitoksen aina pyydettävä Viestintävirastolta etukäteinen kirjallinen lausunto henkilöstövaatimusten täyttymisestä ennen kyseisen henkilön käyttämistä arviointitoiminnassa. Kun arviointilaitos hakee pätevyysalueekseen KATAKRI:a tai VAHTI:a, sovelletaan sen omaan toimintaan lähtökohtaisesti yhtä suojaustasoa korkeampaa vaatimustasoa, kuin mille laitos hakee hyväksyntää14. Jos hyväksyntää haetaan esimerkiksi suojaustasolle IV, arviointilaitoksen tietojenkäsittelyn turvallisuuden todentamisessa käytetään KATAKRI:n IIItason vaatimuksia. Kun pätevyysalue ei sisällä KATAKRI:a tai VAHTI:a, tietojenkäsittelyn turvallisuus todennetaan käyttäen KATAKRI IV-tason vaatimuksia. Turvalliseen tiedonkäsittelyyn liittyen arviointilaitoksen tulee huomioida tietojenkäsittelyssään myös akkreditointistandardien vaatimukset koskien luottamuksellisuutta. Lisäksi arviointilaitoksen on varmistuttava siitä, että tiedonkäsittelyvaatimuksia noudatetaan riippumatta siitä, kuka arviointilaitoksen lukuun tekevä henkilö tai taho käsittelee salassa pidettävää tietoa. Vaatimukset koskevat yhtä lailla omaa henkilöstöä kuin tahoa, joka hoitaa arviointiin liittyviä tehtäviä esimerkiksi toimeksiantosopimuksen perusteella. 13 Arviointilaitoksen on haettava toimintaan osallistuvista henkilöistä turvallisuusselvitys sen perusteella, mitä salassa pidettävää tai turvallisuusluokiteltua tietoa arviointitoimintaan osallistuva henkilö tulee käsittelemään. Turvaselvitysten osalta otetaan huomioon myös salassa pidettävän tai turvallisuusluokiteltujen tietojen määrä. 14 Arviointilaitoksella tulee olla kyky käsitellä loppuasiakkaansa luokittelemaa tietoa sille asetettujen suojausvaatimusten mukaisesti. Arviointilaitoksen arvioidessa esimerkiksi loppuasiakkaansa IV-tason järjestelmää, tulee arviointilaitos saamaan arviointiprosessin aikana asiakkaansa luokittelemaa ko. järjestelmää koskevaa tietoa (esimerkiksi verkkokuvat ja tiedot kytkennöistä muihin järjestelmiin). Järjestelmien turvallisuustoteutuksiin liittyvät tiedot luokitellaan eräissä tapauksissa pykälää korkeammalle, kuin mikä on korkein järjestelmässä käsiteltävä tieto. Myös eri loppuasiakkaiden tiedoista koostuvan tietovarannon suojaustaso on usein tulkittavissa kasautumisvaikutuksesta johtuen yksittäisten tietojen suojaustasoa korkeammaksi. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 18 (44) 29.1.2015 4.1.5 Asianmukaiset ohjeet toimintaa ja sen seurantaa varten Tietoturvallisuuden arviointilaitoksella tulee olla ja sen tulee ylläpitää ohjeistusta koskien arviointitoimintaa ja toiminnan seurantaa. Ohjeistuksen tulee ottaa huomioon arviointilaitostoimintaan liittyvät lakisääteiset ja muut vaatimukset sekä tämän ohjeen sisältö. Lisäksi arviointilaitoksen tietoturvallisuusohjeistuksen on täytettävä KATAKRI:ssa kuvatut vaatimukset. Arviointilaitoksen tulee varmistua siitä, että sen lukuun työskentelevät henkilöt ja tahot saatetaan tietoisiksi tietoturvallisuuden arviointitoimintaan liittyvistä vaatimuksista ja velvollisuuksista. Tämän varmistamiseksi arviointilaitoksen ohjeistuksessa tulee ottaa kantaa esimerkiksi siihen, miten laitos varmistuu siitä, että sen henkilöstö ja muut laitoksen lukuun työskentelevät henkilöt ovat tietoisia arviointilaitoksen yleisestä ja tietoturvallisuuteen liittyvästä ohjeistuksesta ja ymmärtävät ohjeistuksen sisällön. 4.1.6 Hyvää hallintoa koskevien säännösten noudattaminen Hyväksytty tietoturvallisuuden arviointilaitos hoitaa toiminnassaan julkista hallintotehtävää, minkä vuoksi sen on arviointilaitoslaissa tarkoitettuja tehtäviä suorittaessaan noudatettava hyvää hallintoa koskevia hallintolaissa (434/2003), julkisuuslaissa ja kielilakia (423/2003) viranomaisvaatimuksia. 4.1.6.1 Hallintolaki Hallintolaissa säädetään hyvän hallinnon perusteista, joita hyväksyttyjen arviointilaitosten on noudatettava toiminnassaan. Hyvän hallinnon perusteet ovat toimintaa koskevia yleisiä laadullisia vähimmäisvaatimuksia, jotka arviointilaitoksen tulee huomioida toiminnassaan. Lisäksi jokaisen arviointilaitoksen lukuun työskentelevän on omatoimisesti huomioitava nämä vaatimukset yksittäisissä arvioinneissa. Arviointilaitoksen on kohdeltava asiakkaitaan tasapuolisesti sekä käytettävä toimivaltaansa lain mukaan hyväksyttäviin tarkoituksiin. Arviointilaitoksen toiminnalta edellytetään muun muassa puolueettomuutta, tasapuolisuutta ja luottamuksensuojaa. Arviointilaitoksen tulee toiminnassaan lisäksi huomioida hallintolain menettelylliset oikeusperiaatteet, jotka koskevat esteellisyyttä, asianosaisen eli arvioinnin toimeksiantajan ja arvioinnin kohteen kuulemista ja perusteluvelvollisuutta liittyen arvioinnissa tehtyihin havaintoihin ja johtopäätöksiin. 4.1.6.1.1 Hallinnon oikeusperiaatteet Hallinnon oikeusperiaatteilla tarkoitetaan yhdenvertaisuutta, objektiivisuutta, tarkoitussidonnaisuutta, suhteellisuutta ja luottamuksensuojaa. Nämä periaatteet ovat osittain päällekkäisiä ISO 17021 standardin mukaisten periaatteiden kanssa. Yhdenvertaisuudella tarkoitetaan sitä, että arviointilaitoksen on kohdeltava kaikkia asiakkaitaan samanlaisissa tilanteissa samalla tavalla eli DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 19 (44) 29.1.2015 tasapuolisesti. Tarkoitussidonnaisuudella tarkoitetaan yleisesti ottaen toiminnan hyväksyttäviä tarkoitusperiä ja kiellettyjen tarkoitusten toteuttamisen välttämistä. Tarkoitussidonnaisuus pitää sisällään esimerkiksi sen, että arviointitoiminnassa saatuja tietoja käytetään vain etukäteen määriteltyihin ja hyväksyttyihin tarkoituksiin. Objektiivisuudella puolestaan tarkoitetaan arviointitoiminnan yhteydessä muun muassa esitettyjen näkemysten ja kannanottojen objektiivisuutta eli subjektiivisten asenteiden poissulkemista. Lisäksi objektiivisuus edellyttää, että esitetyt kannanotot vastaavat mahdollisimman pitkälle tosiasioita, mikä osaltaan edistää arviointilaitoksen toimintaan kohdistuvaa luottamusta. Arviointilaitoksen ja sen lukuun toimivien henkilöiden toiminnan on myös oltava suhteellisuusperiaatteen mukaista eli laitoksen toimenpiteiden on oltava oikeassa suhteessa tavoiteltuun päämäärään nähden. Tämä on huomioitava erityisesti niissä tilanteissa, joissa arviointitehtävässä käsitellään henkilötietoja tai yksityisyyden suojaan kuuluvia tietoja. Tällaisia tietoja ei pääsääntöisesti tule käsitellä, ellei se ole välttämätöntä tehtävän suorittamisen kannalta. Silloinkin tulee varmistua siitä, että tietojen käsittely on lain mukaan mahdollista ja se tapahtuu lain edellyttämällä tavalla. Luottamuksensuoja liittyy oikeusvarmuuteen ja pitää sisällään erityisesti vaatimuksen arviointitoiminnan johdonmukaisuudesta. Lisäksi se tarkoittaa laitoksen tuottamien asiakirjojen ja niiden sisältämien tietojen julkista luotettavuutta ja oikeellisuutta, kunnes ne nimenomaisesti osoitetaan vääriksi. Luottamusvaatimus tarkoittaa myös perusteltua arviointilaitostoimintaan kohdistuvaa odotusta siitä, että laitos toimii ennakoitavissa olevalla tavalla ja arviointilaitoksen antamiin neuvoihin tai muuhun informaatioon voi luottaa. 4.1.6.1.2 Palveluperiaate ja palvelun asianmukaisuus Palveluperiaatteella tarkoitetaan sitä, että arviointilaitoksen asiakas saa asianmukaisesti laitoksen tarjoamia palveluja. Palvelut on järjestettävä asiakkaan näkökulmasta ja palveluiden on oltava laadultaan hyviä. 4.1.6.1.3 Neuvonta ja hyvän kielenkäytön vaatimus Arviointilaitoksella on neuvontavelvollisuus sen pätevyysalueeseen kuuluvien tietoturvallisuuden arviointitehtävien osalta. Laitoksen on annettava asiakkailleen tarpeen mukaan arviointipalveluihin liittyvää neuvontaa sekä vastattava palveluja koskeviin kysymyksiin ja tiedusteluihin. Neuvontavelvollisuus kattaa lähinnä arviointitoimeksiantoa koskevat menettelyneuvot, eikä se ulotu sisällölliseen neuvontaan. Tässä yhteydessä arviointilaitoksen ja sen lukuun työskentelevien henkilöiden onkin pidättäydyttävä neuvonnasta, joka on konsultointia ja vaarantaa riippumattomuuden. Arviointilaitoksen tulee antaa neuvoja, ohjeita ja opastusta maksutta, mikäli niistä aiheutuu vain vähäisiä kustannuksia. Neuvonnalta ei varsinaisesti edellytetä ehdotonta julkista luotettavuutta, mutta arviointilaitoksen tulee pyrkiä mahdollisimman virheettömiin neuvoihin ja opastukseen. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 20 (44) 29.1.2015 Hyvän kielenkäytön vaatimus tarkoittaa asiallista, selkeää ja ymmärrettävää kieltä. Hyvää kieltä on käytettävä sekä suullisessa että kirjallisessa esityksessä ja arviointilaitoksen tuottamat asiakirjat on laadittava hyvällä ja ymmärrettävällä kielellä. 4.1.6.1.4 Selvittämisvelvollisuus ja päätöksen perusteleminen Arviointilaitostehtävää hoidettaessa arviointilaitoksen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä ja pyydettävä arvioinnin kohteelta tarvittavat tiedot arvioinnin suorittamiseksi. Arviointitoimeksiantoa ei voida suorittaa pintapuolisen arviointiaineiston pohjalta. Selvittäminen voi perustua suulliseen tai kirjalliseen selvitykseen, mutta arviointilaitoksen on kuitenkin pystyttävä osoittamaan jälkikäteen, että tehdyt havainnot perustuvat riittävään selvitykseen. Perusteluvelvollisuus edellyttää sitä, että arvioinnissa tehtävät havainnot perustellaan riittävällä tarkkuudella siten, että arvioinnin toimeksiantaja saa tiedot siitä, miten tiettyyn lopputulokseen on päädytty ja mihin tehdyt johtopäätökset perustuvat. Perusteluissa on kiinnitettävä huomiota johdonmukaisuuteen ja selkeyteen sekä saatujen selvitysten tarkkaan arviointiin. Mikäli arviointilaitos esimerkiksi toimeksiantajan reklamoinnin johdosta havaitsee jälkikäteen, että sen tekemässä arvioinnissa on puutteita tai virheitä liittyen asian selvittämisen, havaintojen perustelemisen tai muun syyn takia, tulee sen mahdollisuuksien mukaan korjata havaitut puutteet tai virheet. Arviointitehtävään liittyvää selvittämisja perusteluvelvollisuutta konkretisoidaan kappaleissa 5.3 Arviointimenettelyn vaiheet, 5.4 Arviointimenetelmät sekä liitteessä B Arviointiraporttimalli. Lisäksi standardi ISO 17021 sisältää vaatimuksia koskien tiedon keräämistä ja todentamista, poikkeamien syiden selvittämistä, auditointihavaintojen yksilöintiä ja kirjaamista, valituksiin vastaamista ja valituksia koskevasta käsittelyprosessista sekä siitä tiedottamisesta. 4.1.6.1.5 Esteellisyys Arviointilaitoksen lukuun työskentelevä henkilö ei saa osallistua arviointitoimeksiantoon, jos häntä koskee hallintolain 28 §:ssä mainittu esteellisyysperuste. Esteellisyyttä koskeva asia on ratkaistava viipymättä arviointitoimeksiannon alkuvaiheessa. Esteellisyyden ratkaisee henkilö itse. Arviointilaitos ja sen vastuuhenkilöt ovat kuitenkin vastuussa riippumattomuutta koskevien vaatimusten täyttymisestä. 4.1.6.2 Julkisuuslaki Julkisuuslaissa säädetään viranomaisten julkisista asiakirjoista sekä asiakirjojen salassapidosta, salassa pidettäviin tietoihin liittyvästä vaitiolovelvollisuudesta ja hyväksikäyttökiellosta sekä hyvästä tiedonhallintatavasta. Julkisuuslain lähtökohta on julkisuusperiaate, mutta arviointilaitoksen tulee suojata salassa pidettävää tietoa (kuten liikesalaisuudet ja turvajärjestelyjä koskevat salassa pidettävät tiedot) DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 21 (44) 29.1.2015 tietoturvallisuus- ja tiedonkäsittelyä koskevien vaatimusten edellyttämällä tavalla (vertaa kohta 4.1.4). Rangaistus julkisuuslain mukaisen salassapitovelvollisuuden ja hyväksikäyttökiellon rikkomisesta tuomitaan rikoslain 40 luvun 5 §:n mukaan, jollei teko ole rangaistava 38 luvun 1 tai 2 §:n mukaan tai jollei siitä muualla laissa säädetä ankarampaa rangaistusta. 4.2 Arviointilaitokseksi hakeutuminen 4.2.1 Akkreditoinnin hakeminen Ennen varsinaisen hyväksynnän hakemista Viestintävirastolta, arviointielimen on haettava FINAS-akkreditointipalvelulta akkreditointia eli pätevyyden arviointia. Arviointielimen akkreditointiin sovelletaan yhdenmukaisia kansainvälisiä ja eurooppalaisia arviointiperusteita. Tietoturvallisuuden arviointilaitoksen pätevyyden arvioinnissa sovelletaan standardien ISO 17021 ja ISO 27006 vaatimuksia sekä tässä ohjeessa tarkemmin kuvattuja vaatimuksia. 4.2.1.1 Arviointilaitoksen pätevyysalue Tietoturvallisuuden arviointilaitoksen on hakiessaan pätevyyden arviointia ilmoitettava, mille pätevyysalueelle se hakee akkreditointia. Pätevyysalueet määritellään seuraaville osa-alueille: I. tietoturvallisuuden arviointikriteeristö 1) valtiovarainministeriön liitteessä 1 yksilöidyt ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta , kulloinkin voimassa olevat versiot15 2) kansallinen turvallisuusauditointikriteeristö , kulloinkin voimassa oleva versio 3) ISO/IEC 27001, kulloinkin voimassa oleva versio 4) muu julkaistu ja yleisesti tai alueellisesti sovellettu tietoturvallisuutta koskeva säännös, määräys tai ohje taikka vahvistettuun standardiin sisältyvät tietoturvallisuutta koskevat vaatimukset Arviointilaitoksen on haettava pätevyyttä osa-alueelle 3) eli jotta laitos voidaan hyväksyä tietoturvallisuuden arviointilaitokseksi, sillä on oltava pätevyys suorittaa ISO 27001 standardin mukaisia arviointeja. Kun arviointilaitos hakee pätevyyden arviointia kohtiin I. 1) ja 2), haetaan pätevyyttä myös suojaustason perusteella: 15 Mikäli tietoturvallisuuden arviointilaitoksen pätevyysalue kattaa valtiovarainministeriön ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, voi se tehdä sosiaali- ja terveydenhuollon tietojärjestelmien arvioinnin ja antaa olennaisten vaatimusten täyttymistä koskevan todistuksen (ks. 6 Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi) DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 22 (44) 29.1.2015 II. suojaustaso 1) suojaustaso IV 2) suojaustaso III Kun arviointilaitos hakee pätevyyden arviointia tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti ensimmäisen kerran, voidaan sille määritellä akkreditoitu pätevyysalue osa-alueen II osalta suojaustasolle IV (II, alakohta 1). 4.2.2 Hyväksynnän hakeminen Viestintävirastolta Tietoturvallisuuden arviointilaitos voi hakea hyväksyntää toimintaansa varten Viestintävirastolle osoitetulla vapaamuotoisella hakemuksella. Hakemukseen on liitettävä tiedot, jotka ovat tarpeen asian käsittelyä varten. Hakemukseen liitteenä tulee olla FINAS-akkreditointipalvelun akkreditointipäätös, josta ilmenee arviointilaitoksen akkreditoitu pätevyysalue. Hyväksyntä voidaan arviointilaitoksen hakemuksesta erityisestä syystä antaa määräaikaisena. Erityinen syy voi liittyä esimerkiksi arviointilaitoksen pätevyysalueen rajaamiseen, joka tulisi arviointilaitoksen toiminnan kehittämisen jälkeen tarpeettomaksi. Hyväksynnän antamisen edellytyksenä on kuitenkin aina se, että laitos täyttää arviointilaitoksista annetun lain 5 §:n hyväksymisvaatimukset. Kuva 3. Arviointilaitoksen hyväksymismenettely Hakemuksen tulee sisältää seuraavat tiedot: DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 23 (44) 29.1.2015 • • • ilmoituksen arviointilaitoksen vastuuhenkilöistä ja selvityksen arviointilaitoksen menetelmästä, jonka avulla laitoksen toimitilojen ja tietojenkäsittelyn turvallisuus varmistetaan; arviointilaitoksen toimintaa koskevat ohjeet; sekä tarvittaessa ilmoituksen hakemukseen sisältyvistä salassa pidettävistä tiedoista. Jos hakemus sisältää salassa pidettäviä tietoja, tulee hakemuksessa eritellä, miltä osin hakemus on salassa pidettävä ja mihin salassapito perustuu. Salassa pidettävät tiedot erotetaan mielellään hakemuksen erillisiksi liitteiksi. Tietoturvallisuuden arviointilaitoksen hyväksymistä koskevan asian käsittelystä perittävästä maksusta säädetään valtion maksuperustelaissa (150/1992) ja liikenne- ja viestintäministeriön Viestintäviraston eräistä maksuista annetussa asetuksessa (1058/2009). 5 Tietoturvallisuuden arviointimenettely 5.1 Arviointityypit Hyväksytty tietoturvallisuuden arviointilaitos voi suorittaa sekä tietoturvallisuuden hallintajärjestelmien ja tietojenkäsittely-ympäristöjen arviointeja että yksittäisten tietojärjestelmien ja tietoliikennejärjestelmien arviointeja. Olennaista tietoturvallisuuden arvioinnissa kuitenkin aina on se, että arviointi kohdistetaan koko salassa pidettävän tiedon elinkaareen eli arvioinnin laajuus määritellään sen mukaisesti, missä laajuudessa salassa pidettävää tietoa käsitellään. 5.1.1 Tietoturvallisuuden hallintajärjestelmän arviointi Tietoturvallisuuden hallintajärjestelmän arvioinnissa on kyse organisaation toiminnan arvioimisesta kokonaisuutena, jolloin kiinnitetään huomiota esimerkiksi tietoturvallisuuden hallinnan suunnitteluun ja toteutukseen, tietoturvallisuusriskien hallintaan sekä organisaation tietoturvallisuusvastuiden määrittämiseen. Tietoturvallisuuden hallintajärjestelmän arvioinnilla tarkoitetaan erityisesti ISO 27001 -standardin mukaista arviota, jonka tarkoituksena on selvittää, onko arvioinnin kohteen tietoturvallisuuden suunnittelu, toteutus, auditointi ja kehittäminen toteutettu standardin edellyttämällä tavalla. ISO 27001 sertifikaatti osoittaa, että sertifioidulla organisaatiolla on käytössään tietoturvallisuuden hallintajärjestelmä ja hallintajärjestelmän tasoa arvioidaan säännöllisesti. 5.1.2 Tietojenkäsittely-ympäristön arviointi Tietojenkäsittely-ympäristön arviointi tarkoittaa arvioinnin kohteen toiminnan arviointia erityisesti siltä osin, kun kohde käsittelee salassa pidettävää tai turvallisuusluokiteltua tietoa tietyssä ympäristössä. Arviointi kohdistetaan koko tiedon elinkaareen tiedon vastaanottamisesta tai DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 24 (44) 29.1.2015 tuottamisesta tiedon hävittämiseen saakka kaikissa sen olomuodoissa. Toiminnan arvioinnissa käytetään KATAKRI- tai/ja VAHTI-kriteeristöä. 5.1.3 Tietojärjestelmän tai tietoliikennejärjestelyn arviointi Tietojärjestelmän tai tietoliikennejärjestelyn tietoturvallisuuden arvioinnin tarkoituksena on varmistaa, että tarkastuksen kohteena oleva tietty tietojärjestelmä tai tietoliikennejärjestely vastaa sille asetettuja tietoturvallisuutta koskevia eli tietoturvallisuustason mukaisia vaatimuksia. Arviointitehtävään ei sisälly tietojärjestelmään talletettavien tietojen lainmukaisuuden arviointi tai muutkaan tietojärjestelmän sisällön arviointiin liittyvät kysymykset, vaan arviointitehtävässä selvitetään, täyttääkö arvioinnin kohde ne tekniset ominaisuudet, joita siltä edellytetään. 5.1.4 Osittainen arviointi Tietoturvallisuuden arviointi voidaan tehdä arvioinnin toimeksiantajan pyynnön mukaisesti osittaisena esimerkiksi rajaamalla arvioinnin kohdetta niin, ettei se kata koko tiedon elinkaarta, vaan ainoastaan tietyn osan tiedonkäsittelyä. Tällainen osittainen arviointi voi olla perusteltua esimerkiksi niissä tilanteissa, joissa arvioinnin kohteena on laaja tietojärjestelmä, jonka toteuttamisesta vastaa useampi taho, ja arviointi on sen vuoksi tarkoituksenmukaista tehdä yhden laajan arvioinnin sijaan pienempinä kokonaisuuksina. Arviointilaitoksen antaman todistuksen edellytyksenä kuitenkin on, että arvioinnissa tarkastetaan kohteen toimitilat. 5.1.5 Esiarviointi Auditointivalmiuden selvittämiseksi voidaan tehdä esiarviointi, jonka tarkoituksena on todeta kohteen arviointikypsyys ja tarvittaessa varmistaa riittävä tiedon määrä varsinaisen arvioinnin suunnittelemiseksi. Esiarvioinnissa tulee pidättäytyä antamasta sellaisia suosituksia tai ohjeita, jotka voidaan katsoa konsultoinniksi tai muuten vaarantavat riippumattomuuden. Esiarviointia ei voida käyttää varsinaisen arvioinnin keston lyhentämiseen. 5.2 Arviointikriteeristöt ja niiden soveltamisohjeet Tässä kuvataan yleiset reunaehdot vaatimusten tulkintakäytännöille. Epäselvissä tilanteissa tulee tulkintaohje pyytää Viestintävirastolta. Tilanteissa, joissa samassa järjestelmässä käsitellään useamman omistajan tietoa, esimerkiksi kansallista ja EU:n turvaluokiteltua tietoa, tulee täyttää kaikkien tiedon omistajien asettamat suojausvaatimukset. Tilanteissa, joissa asetettavat vaatimukset ovat keskenään päällekkäisiä tai ristiriitaisia, tulee vaatimukset täyttää tiukimman mukaisesti. 5.2.1 Kansalliset tietoturvallisuusvaatimukset Kansallista suojattavaa tietoa sisältävien järjestelmien suojausvaatimukset on kuvattu tietoturvallisuusasetuksessa sekä sen toimenpanon ohjaukseen DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 25 (44) 29.1.2015 tarkoitetuissa valtiovarainministeriön ohjeissa eli VAHTI-julkaisuissa. Toimeenpanon ohjaukseen tarkoitetut VAHTI-julkaisut ovat lueteltu liitteessä A. Haettaessa viranomaishyväksyntää, kohteelta edellytetään tietoturvallisuusasetuksessa sekä liitteessä A mainituissa VAHTIjulkaisuissa kuvattujen vaatimusten täyttämistä. Jos edellä mainituissa julkaisuissa on päällekkäisiä tai ristiriitaisia vaatimuksia, on arviointilaitoksen haettava Viestintävirastolta tulkintalinjaus. VAHTI-julkaisuissa viitataan joidenkin vaatimusten osalta Kansalliseen turvallisuusauditointikriteeristöön (KATAKRI). Näiden vaatimusten täyttymisen todentaminen tulee toteuttaa KATAKRI:ssa kuvattujen määritysten mukaisesti. Myös vain kansallisista suojattavaa tietoa käsitteleviä järjestelmiä voidaan arvioida KATAKRI-kriteeristössä kuvattuja vaatimuksia vasten. 5.2.2 Kansainväliset tietoturvallisuusvaatimukset Kansainvälistä turvaluokiteltua tietoa sisältävien järjestelmien keskeiset suojausvaatimukset on kuvattu Kansallisessa turvallisuusauditointikriteeristössä (KATAKRI). KATAKRI:ssa kuvattujen vaatimusten tulkinta riippuu yksittäisten vaatimusten16 tapauksessa kansainvälisen tiedon omistajasta17. Viestintävirasto ohjeistaa hyväksyttyjä arviointilaitoksia KATAKRI:n tulkintakäytännöistä. Vaatimusten tulkinta voi tiedon omistajasta riippuen vaihdella esimerkiksi hajasäteilyltä suojautumista ja tiedon erottelua koskevien vaatimusten osalta. 5.2.3 Vahvistettuun standardiin perustuvat tietoturvallisuusvaatimukset ISO 27001 -standardi sisältää vaatimukset tietoturvallisuuden hallintajärjestelmille. ISO 27001 -standardin soveltamisessa ja standardiin liittyvissä arvioinneissa voidaan käyttää apuna muita ISO 27000 -sarjan standardeja. 5.3 Arviointimenettelyn vaiheet Arviointitoiminnan tarkoituksena on tuottaa arvioinnin toimeksiantajalle tieto arvioinnin kohteen tietoturvallisuuden hallintajärjestelmän taikka nimenomaisen tietojärjestelmän tai tietoliikennejärjestelyn ja sen toteutuksen vaatimuksenmukaisuudesta. Arvioinnissa selvitetään, onko arvioinnin kohteen toiminnassa asianmukaisella tavalla toteutettu tietoturvallisuutta koskevat vaatimukset, jotka ovat otettu selvityksen perustaksi. Arviointilaitoksen on suoritettava arviointitehtävä noudattaen huolellisuutta, mikä tarkoittaa esimerkiksi laitoksen velvollisuutta 16 Käytännössä eroja on lähinnä vain hajasäteilyltä suojautumiseen (F 217.0), eri omistajien tiedon erotteluun ja tarkastusoikeuteen (I 505.0), salausratkaisujen hyväksymiseen (I 509.0) sekä henkilöturvallisuusselvityksiin (P 405.0) liittyen. 17 Esimerkiksi EU:n turvallisuusluokiteltujen tietojen suojaamiseen sovelletaan neuvoston päätöstä (2011/292/EU) turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi. Naton turvaluokitellun tiedon suojausvaatimukset on kuvattu Naton turvallisuuspolitiikassa ja sitä täsmentävissä politiikoissa. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx 26 (44) Ohje 29.1.2015 noudattaa toimintaa. asianmukaisia menettelytapoja sekä muutoinkin asiallista 5.3.1 Toimeksianto Tietoturvallisuuden arviointimenettely käynnistyy aina toimeksiannosta. Toimeksianto tarkoittaa arvioinnin suorittamista ISO 17021 standardin mukaisella menettelyllä18, ja arvioinnin lopputuloksena arviointilaitos toteaa, täyttyvätkö arvioinnin perustana olevat vaatimukset vai eivät sekä antaa todistuksen arvioinnin toimeksiantajalle, mikäli vaatimukset täyttyvät. Lähtökohtaisesti VAHTI- ja KATAKRI-arvioinneissa arviointitoimeksiannolla tarkoitetaan yksittäisen arvioinnin suorittamista, mutta toimeksiantaja ja arviointilaitos voivat sopia myös laajemmasta arviointipalvelusta esimerkiksi koskien laajempaa arviointiohjelmaa, seurantatoimia ja uudelleenarviointeja19. Viranomaisen tietojärjestelmää tai tietoliikennejärjestelyä koskevan arviointipyynnön tekee viranomainen, jonka määräämisvallassa tai hankittavaksi suunnittelema järjestelmä on. Määräämisvallalla tarkoitetaan, että järjestelmä on viranomaisen käytettävissä esimerkiksi käyttöoikeussopimuksen perusteella ja jos viranomainen on oikeutettu määräämään sen käytöstä, tietojen luovuttamisesta ja muusta tiedonkäsittelystä. Viranomaisen tietojärjestelmää koskevan arviointipyynnön voi tehdä myös se, joka tarjoaa sellaisia tietojenkäsittelypalveluja, joita käytetään yleisesti valtionhallinnon eri viranomaisissa, kun viranomainen antaa tähän valtuutuksen. Arviointilaitoksen tulee laatia kirjallinen sopimus tietoturvallisuuden arviointitehtävästä arvioinnin toimeksiantajan kanssa. Sopimuksessa on sovittava ainakin arvioinnin kohteesta ja mahdollisista kohdetta koskevista rajauksista, sovellettavasta arviointiperusteesta ja arviointikriteeristöstä, suojaus- tai turvallisuusluokitustasosta, arvioinnin laajuudesta ja kestosta, toimeksiantajalle luovutettavasta arviointiraportista ja muusta asiakirjaaineistosta sekä arviointitehtävästä perittävästä maksusta. Arviointilaitoksen on varmistuttava toimeksiantosopimuksessa siitä, että laitoksella on oikeus saada riittävät tiedot ja pääsy tarvittaviin tiloihin arviointitehtävän suorittamiseksi. Arviointilaitoksen on lisäksi varmistuttava, että arviointiin liittyvät tiedot ovat riittävässä määrin20 arviointilaitoksen ja Viestintäviraston saatavilla myös arviointitehtävän päättymisen jälkeen. 18 ISO 17021 liite E Kolmannen osapuolen auditointi- ja sertifiointiprosessi. Seuranta-auditoinnit ja uudelleenarvioinnit suoritetaan VAHTI- ja KATAKRI-arvioinneissa, mikäli tästä erikseen osapuolten välillä sovitaan. 19 Vertaa ISO 17021 9.1.1 Auditointiohjelma, ISO 17021 9.3 Seurantatoimet ja ISO 27006 9.3 Surveillance activities sekä ISO 17021 9.4 Uudelleensertifiointi ja ISO 27006 9.4 Resertification. 20 Arviointilaitoksen on säilytettävä keskeiset arviointitulokseen vaikuttavat todistusaineistot 6 vuotta arviointitapahtuman päättymisen jälkeen. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 27 (44) 29.1.2015 5.3.2 Arvioinnin perustaksi otettujen tietoturvallisuutta koskevien vaatimusten toteutuminen Kun arviointikriteeristönä käytetään VAHTI:a ja KATAKRI:a, arviointi suoritetaan noudattaen kohdan 5.4 Arviointimenetelmät mukaisia vaatimuksia. Arviointilaitoksen on suorittamassa arviossaan tarkistettava kohteen toimitilat, eikä arvioinnin perusteella annettavaa todistusta voida siten antaa ilman asianmukaista toimitilojen tarkastamista. Tietyissä tietoturvallisuutta koskevissa yksittäisissä vaatimuksissa edellytetään kansallisen tietoturvaviranomaisen antamaa hyväksyntää. Tällaista hyväksyntää voidaan edellyttää salaustuotteiden ja hajasäteilyä koskevien vastatoimien (TEMPEST) osalta21. Arvioinnin kohteen on hankittava viranomaishyväksynnät etukäteen arviointia varten, ja arvioinnissa arviointilaitos toteaa, että hyväksyntä haettu ja että kohteen toiminta vastaa hyväksynnän vaatimuksia ja ehtoja (esim. salaustuotteen käyttöä koskevat ehdot).22 5.3.3 Arvioinnissa sovellettava menettely Tietoturvallisuuden arviointimenettelyssä sovelletaan noudatettava standardien ISO 17021 ja ISO 27006 mukaisia prosessivaatimuksia soveltuvin osin. Arviointimenettelyssä voidaan käyttää myös standardien ISO 19011 ja ISO 27007 mukaisia menettelyitä23. Ellei muuta ole arvioinnin toimeksiantajan ja arviointilaitoksen välillä sovittu, arviointitehtävä ei sisällä auditointiohjelmaa tai seuranta- ja uudelleenarviointitehtäviä silloin, kun arviointikriteerinä käytetään VAHTI:a tai KATAKRI:a. 21 Viestintävirason NCSA-toiminnon hyväksymät salausratkaisut ja sähkömagneettisen hajasäteilyn aiheuttamien tietoturvariskien ehkäisyn periaatteet ks. https://www.viestintavirasto.fi/tietoturva/viestintavirastontietoturvapalvelut/ncsa-fi.html > Asiakirjat 22 Arviointilaitos voi hakea salaustuotetta koskevan Viestintävirasto arvion niin sanottuna CAApikaprosessina 23 ISO 19011:2011 "Guidelines for auditing management systems"/ SFS-EN ISO 19011 "Johtamisjärjestelmän auditointiohjeet", ISO 27007 Guidelines for information security management systems auditing DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx 28 (44) Ohje 29.1.2015 Arvioinnin aloittaminen Toimeksianto Yleistilanne Arviointiperuste ja suojaustaso Asiakirjojen katselmointi Ilmiselvät parannuskohteet Arviointikriteeristö Valmius paikan päällä toteutettavaan arviointiin Paikan päällä toteutettavat toimenpiteet Arviointiraportti Riittävän arviointinäytön kerääminen Arviointihavainnot ja niiden perusteleminen Tekninen todentaminen Korjaavien toimenpiteiden toteuttaminen Raportointi Poikkeamaraportointi Arviointilaitoksen todistus kohteelle Kuva 4. Esimerkki tietoturvallisuuden arvioinnin etenemisestä 5.3.4 Arviointiraportti ja muut arviointiin liittyvät asiakirjat Tietoturvallisuuden arvioinnista ja suoritetuista tarkastuksista on laadittava arviointiraportti liitteen B mukaisesti noudattaen standardeiden ISO 17021 ja ISO 27006 vaatimuksia. VAHTIja KATAKRI-arvioinneissa arviointiraporttiin on aina liitettävä vaatimustaulukko arviointituloksineen ja perusteluineen (vertaa liite B). Raportissa ja sen liitteenä olevassa vaatimustaulukossa on perusteltava huolellisesti ja riittävän laajasti tehdyt havainnot sekä millä perusteilla yksittäinen vaatimus on joko hyväksytty tai hylätty. Siltä osin kuin havainnot perustuvat asiakirjanäyttöön, on raportissa yksilöitävä kyseinen asiakirja. Arviointilaitoksen on dokumentoitava arviointitehtävän suorittamisen yhteydessä syntyvä asiakirja- ja todistusaineisto riittävällä tarkkuudella siten, että arvioinnissa tehdyt havainnot voidaan todentaa jälkikäteen. Arviointilaitoksen tulee havaintojen jälkikäteiseksi todentamiseksi myös varmistua asiakirja- ja todistusaineiston saatavuudesta24. 5.3.5 Todistuksen antaminen Arviointilaitoksen tulee antaa arvioinnin kohteelle selvityksen ja tarkastuksen perusteella todistus, jos kohteen toimitilat ja toiminta on arvioinnin perustana olleiden tietoturvallisuusvaatimusten mukainen. 24 Arviointilaitoksen on säilytettävä keskeiset arviointitulokseen vaikuttavat todistusaineistot 6 vuotta arviointitapahtuman päättymisen jälkeen. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx 29 (44) Ohje 29.1.2015 Todistuksen antamisen edellytyksenä on, että kohteen toimitilat ovat tarkastettu hyväksytysti. Todistuksessa on yksilöitävä arvioinnissa käytetyt arviointiperusteet eli arviointikriteeristö ja sovellettu tietoturvallisuustaso, tiedot arvioinnin laajuudesta sekä todistuksen myöntämispäivä. Kun arviointi koskee tietojärjestelmän tai tietoliikennejärjestelyn arviointia, voidaan todistukseen viitata tai käyttää sitä tuotteen yhteydessä siten, että todistuksella osoitetaan järjestelmän vaatimuksenmukaisuus. Näin ollen ISO 17021 standardin 8.4.1, 8.4.2 ja 8.4.3 f) kohtien mukainen rajoitus koskien merkin käyttöä tuotteessa ei koske tietojärjestelmiä ja tietoliikennejärjestelyjä, joille arviointilaitos on myöntänyt todistuksen. 5.3.6 Arviointia koskevien tietojen julkaiseminen Kun arviointikriteeristönä käytetään VAHTI:a tai KATAKRI:a tai kun arviointi koskee viranomaisen tiedonkäsittely-ympäristön, tietojärjestelmän tai tietoliikennejärjestelyn arviointia, arviointilaitoksen on asetettava ISO 17021 -standardin kohdissa 8.1.3 ja 8.3 tarkoitetut tiedot julkisesti saataville vain, mikäli viranomainen, jonka pyynnöstä arviointi on tehty, on antanut tähän kirjallisen suostumuksen. 5.3.7 Seurantatoimenpiteet Jos arviointilaitos myöntää arvioinnin kohteelle todistuksen tietoturvallisuusvaatimusten täyttymisestä, on todistuksessa edellytettävä arvioinnin kohdetta ilmoittamaan kaikista niistä arvioinnin kohdetta koskevista muutoksista, joilla voi olla vaikutusta tietoturvallisuusvaatimusten täyttymiseen. Kun arviointilaitos saa ilmoituksen muutoksesta, on sen peruutettava todistus, jos muutoksen johdosta arvioinnin kohde ei enää täytä niitä vaatimuksia, jotka ovat otettu arvioinnin perustaksi. Arviointilaitoksen tulee ilmoittaa todistuksen peruuttamisesta arvioinnin toimeksiantajalle. Muista seuranta- ja uudelleenarviointitehtävistä toimeksiannon perusteella. arviointilaitos vastaa 5.4 Arviointimenetelmät 5.4.1 Yleisiä arviointitoiminnassa huomioitava periaatteita 5.4.1.1 Asiakastietojen suojaaminen tarkastustoiminnassa Asiakastietojen käsittelyssä on täytettävä KATAKRI:ssa kuvatut suojausvaatimukset koko tiedon elinkaaren ajan. Tekniseen tarkastamiseen liittyen tulee erityisesti huomioida • • • 25 26 tiedon erotteluvaatimuksen25 toteutus / asiakaskohtainen dedikointi26, tarkastuslaitteiston eheys ja mittaustiedon luotettavuus, sekä tietojen kuljettamis- ja säilyttämiskäytännöt. KATAKRI I 505.0. (KATAKRI II) Asiakkaan verkkoon voi kytkeä vain laitteiston, joka ei sisällä muiden asiakkaiden tietoja. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 30 (44) 29.1.2015 5.4.1.2 Tarkastuslaitteiston eheys ja mittaustiedon luotettavuus Tarkastuslaitteiston tuottaman mittaustiedon luotettavuudesta pystyttävä varmistumaan. On varmistettava erityisesti, että • • on laitteisto alustetaan jokaiseen tarkastuskäyntiin luotettavasta lähteestä, ja mittaustiedon tulosten oikeellisuus tarkastetaan useammasta lähteestä27. 5.4.1.3 Kasautumisvaikutuksen arviointi Kasautumisvaikutuksella tarkoitetaan ilmiötä, jossa suuresta määrästä tietyn suojaustason tietoa koostuvissa tietojärjestelmissä asiakokonaisuus nousee luokitukseltaan usein yksittäistä tietoa korkeampaan suojaustasoluokkaan. Esimerkiksi suuri määrä suojaustason IV tietoa voi muodostaa yhdistettynä suojaustason III tietovarannon. Kun kohteen keskeisen tietovarannon suojaustaso tulkitaan kasautumisvaikutuksesta johtuen yksittäisten tietoalkioiden tasoa korkeammaksi, tulee tietovarannon määritellyt suojausmenetelmät toteuttaa korkeamman tason vaatimusten mukaisesti. Määritellyillä suojausmenetelmillä tarkoitetaan menetelmiä, joilla rajataan pääsy vain tehtävässä tarvittavaan yksittäiseen tai suppeaan osaan tietosisällöstä, ja joilla yritykset päästä valtuuttamattomasti laajempaan osaan tietosisällöstä havaitaan. Kun arviointikriteeristönä käytetään KATAKRI:a, tulee kasautumisvaikutus tulkita siten, että tietovarannon suojauksilta edellytetään korkeamman tason mukaisena tietovarannon fyysisen turvallisuuden lisäksi kohtia I 513.0 (sovelluskerroksen turvallisuus), I 504.0 ja I 504.1 (jäljitettävyys ja havainnointikyky) sekä I 501.1 (tehtävien eriyttäminen). Onkin huomioitava, että kasautumisvaikutuksen seurauksena yhdellä luokalla noussut tietovarannon suojaustaso ei edellytä hyväksyttävää yhdyskäytäväratkaisua tietovarannon (esimerkiksi ST III) ja päätelaitteiden (esimerkiksi ST IV) välille. Vastaavasti kun arviointikriteeristönä käytetään VAHTI:a, tulee seuraavat aihepiirit tarkastaa luokkaa korkeamman tason mukaisesti: 1) sovelluskerroksen turvallisuus, 2) jäljitettävyys ja havainnointikyky, 3) tehtävien eriyttäminen, ja 4) tietovarannon fyysinen turvallisuus. 27 Esimerkiksi päivityskäytäntöjen toteutus tulee todentaa vähintään henkilöstöä haastattelemalla, prosessikuvauksiin (tai vast.) tutustumalla, päivitystason tutkinnalla järjestelmän "sisältä päin" (esim. tarkastamalla turvapäivitysten asennusaikaleimat itse järjestelmästä) sekä suorittamalla kohteeseen ulkoa päin haavoittuvuusskannaus. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 31 (44) 29.1.2015 5.4.1.4 Sovellettavat uhkamallit Suojaustason IV järjestelmät on suojattava yleisiltä matalan tai keskitason resursseilla ja/tai osaamisella varustettujen hyökkääjien uhkia vastaan. Esimerkiksi julkisesta verkosta saavutettavat etäkäyttöratkaisujen terminointipisteet on pidettävä tiukasti julkaistujen turvapäivitysten tasolla, ja julkaistujen nollapäivähaavoittuvuuksien hyödyntäminen on estettävä muilla keinoin28. Suojaustason III järjestelmät on suojattava merkittävimmillä resursseilla ja/tai osaamisella varustettujen hyökkääjien uhkia vastaan. Esimerkiksi suojaustason III turvaluokitellun tiedon käsittely on rajattava hyväksyttyihin vaatimukset täyttäviin fyysisiin toimitiloihin ja kansainvälisen aineiston tapauksessa suojattava myös esimerkiksi lähtevän hajasäteilyn (TEMPEST) uhkien osalta. 5.4.1.5 Rajausten määrittely Viranomaishyväksynnän ehtona on tietoturvallisuuden huomiointi koko tiedon elinkaaren ajalta. Tämä on huomioitava rajauksissa siten, että kohteesta riippumatta tietoa suojataan vaatimusten mukaisesti koko sen elinkaaren ajan kaikissa siihen kohdistuvissa käyttötapauksissa ja käyttöympäristöissä. Esimerkiksi työaseman tarkastuksessa on huomioitava työaseman ensiasennuksen, päivitys- ja muutoshallinnan, käytöstä poiston prosessien toteutukset, sekä lisäksi käyttötapaukset eri käyttöympäristöissä (esimerkiksi etätyö).Viranomaishyväksyntään tai -todistukseen tähtäävissä tarkastuksissa edellytetään siten tarkastuksen rajauksen ulottamista kaikkiin ympäristöihin, missä suojattava tieto käy elinkaarensa aikana hyväksynnän/todistuksen piiriin haettavissa käyttötapauksissa. Mikäli tarkastuksen kohteena on esimerkiksi viraston A tiedonhallintajärjestelmä, tarkastuksen rajaukseen on sisällyttävä tiedonhallintajärjestelmän lisäksi kaikki työasemat ja verkot, joista ko. tiedonhallintajärjestelmää käytetään tai joista pystytään muuten vaikuttamaan kyseessä olevan tiedon suojauksiin. Viestintävirasto ohjeistaa hyväksyttyjä arviointilaitoksia yksityiskohtaisemmin rajausmäärittelyistä eri tarkastustyyppien ja käyttötapausten osalta. 5.4.2 Hallinnolliselle todentamiselle asetettavat vähimmäisvaatimukset Hallinnolliselle todentamiselle kuvattu taulukossa 1. todentamismenetelmät sekä menetelmiä edellytetään. asetettavat vähimmäisvaatimukset on Taulukossa listataan edellytettävät suojaustasot, joille kyseessä olevia 28 Esimerkiksi poistamalla haavoittuva komponentti käytöstä ennen kuin turvapäivitys on julkaistu ja saatu asennettua. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx 32 (44) Ohje 29.1.2015 ID Todentamismenetelmä Tasot Huomioitavaa H1 Haastattelut IV ja III Kohteena soveltuvat henkilöt, tyypillisesti sisältäen johdon, ylläpidon/kehityksen ja loppukäyttäjien edustajat H2 Dokumentaatioon tutustuminen IV ja III Kattaen verkkokuvat, järjestelmäkuvaukset, prosessikuvaukset ja vastaavat Taulukko 1. Hallinnollisen todentamisen vähimmäisvaatimukset Tässä ohjeessa ei kuvata tasojen II-I järjestelmien hallinnolliselle todentamiselle asetettavia lisävaatimuksia. turvallisuuden 5.4.3 Tekniselle todentamiselle asetettavat vähimmäisvaatimukset Tekniselle todentamiselle asetettavat vähimmäisvaatimukset on kuvattu taulukossa 2. Taulukossa listataan edellytettävät todentamismenetelmät sekä suojaustasot, joille kyseessä olevia menetelmiä edellytetään. ID Todentamismenetelmä Tasot Huomioitavaa T1 Passiivinen rajapintaanalyysi IV ja III Menetelmään sisällyttävä verkko/järjestelmäkuvien rakentamiset sekä liikenneanalyysit. T2 Järjestelmäkonfiguraatioiden turvallisuuden tarkastelu IV ja III Menetelmän katettava kaikki kohteen turvallisuuteen vaikuttavat 29 osakokonaisuudet . T3 Aktiivinen rajapintaanalyysi IV ja III Menetelmään sisällyttävä porttiskannaukset, haavoittuvuusskannaukset (tunnetut haavoittuvuudet) sekä 30 toimintavarmuustestaukset (tuntemattomat haavoittuvuudet). T4 Sovellusturvallisuuden tarkastelut järjestelmätyypeittäin IV ja III Menetelmän katettava kohteen turvallisuuteen vaikuttavien sovelluskomponenttien tarkastelut, esimerkiksi web-sovellukset, Javapalvelin-/asiakasohjelmistot ja ERPjärjestelmien sisäiset 29 Osakokonaisuuksia ovat tyypillisesti esimerkiksi palvelinten ja työasemien käyttöjärjestelmät sekä muut alustaan asennetut ohjelmistot, verkkolaitteiden konfiguraatiot, tietokantojen konfiguraatiot sekä muut järjestelmän turvallisuuteen vaikuttavat ohjelmistot. 30 Toimintavarmuustestauksella tarkoitetaan tässä ohjeessa erityisesti virheellisen syötteen lähettämiseen (fuzz testing) perustuvaa koestusta. Toimintavarmuustestausta edellytetään vain turvallisuuden kannalta kriittisiin järjestelmäosiin. Tällaisia ovat esimerkiksi suojaustason III yhdyskäytäväratkaisut, eri verkkoteknologioiden väliset liityntärajapinnat sekä suurten tietomassojen pääsynhallintamekanismit (kasautumisvaikutus). DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 33 (44) 29.1.2015 pääsynhallintamekanismit. T5 Salausratkaisujen turvallisuuden todentaminen IV ja III T6 Käytettävyystestaukset (ml. kuormitustestaukset) IV ja III T7 Fyysisen turvallisuuden suojausten todentamismenetelmät IV ja III T8 Yhdyskäytäväratkaisujen turvallisuuden testaukset III Kohteissa, joissa Viestintäviraston Yhdyskäytäväratkaisuohjeen31 mukaista yhdyskäytäväratkaisua, todennettava toteutetun ratkaisun turvallisuuden riittävyys suhteessa Yhdyskäytäväratkaisuohjeessa kuvattuihin vaatimuksiin. Tilanteissa, joissa kohteessa ei ole käytössä em. ohjeen mukaista yhdyskäytäväratkaisua, on ratkaisun turvallisuudelle haettava NCSA:n arvio. T9 Poikkeamahavainnointikyvyn testaukset IV ja III Menetelmään sisällyttävä erityisesti suojattavan suojaustason III ympäristön sisällä tehtävien valtuuttamattomien toimien ja niiden yritysten havainnointikyvyn testaamiset. T10 (*) Hajasäteilysuojausten todentaminen III Tarkastettava edellytettävä taso tiedon omistajakohtaisesti. Edellytetään esimerkiksi EU:n turvaluokitellulle Confidential-tason Kohteissa, joissa käytetään Viestintäviraston NCSA-toiminnon hyväksymää salausratkaisua, todennettava salausasetusten ja hallintakäytäntöjen turvallisuuden riittävyys. Tilanteissa, joissa kohteessa ei ole käytössä hyväksyttyä salausratkaisua, on ratkaisun turvallisuudelle haettava NCSA:n arvio. Edellytetään vain järjestelmiin, joilla on korkeat käytettävyysvaatimukset (esim. ihmishenkiä suojaavat turvajärjestelmät). Arviointilaitoksella tulee olla kyky toteuttaa sovellusten stressitestejä, palvelunestohyökkäyksen kestokykytestauksia sekä kyky arvioida kohteen jatkuvuuden hallinnan / toimintavarmuuden menettelyjä. 31 Viestintäviraston ohje "Ohje hyväksyttävien yhdyskäytäväratkaisujen suunnitteluperiaatteista ja ratkaisumalleista". URL: www.ncsa.fi > Asiakirjat > Yhdyskäytäväratkaisuohje. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 34 (44) 29.1.2015 tiedolle. T11 (*) Luvattomien teknisten laitteiden olemassaolon todentaminen III Tarkastettava edellytettävä taso kohdekohtaisesti tiedon omistajalta tai omistajan valtuuttamalta taholta. Ei tyypillisesti edellytetä esimerkiksi palvelintiloihin, joissa ei keskustella salassa pidettävästä tiedosta. Taulukko 2. Teknisen todentamisen vähimmäisvaatimukset Taulukossa 2 tähdellä (*) merkityt todentamismenetelmät on mahdollista ulkoistaa DSA-viranomaiselle. Tässä ohjeessa ei kuvata tasojen II-I järjestelmien turvallisuuden tekniselle todentamiselle asetettavia lisävaatimuksia. 5.5 Arviointilaitoksen suorittaman arvioinnin suhde viranomaishyväksyntään ja viranomaisen antama todistus Tietyissä tilanteissa tietojärjestelmältä, tietoliikennejärjestelyltä tai muulta tietojenkäsittely-ympäristöltä edellytetään viranomaishyväksyntää. Esimerkiksi tietojärjestelmät, joissa käsitellään kansainvälisen tietoturvavelvoitteen perusteella salassa pidettävää tietoa, on aina hyväksytettävä toimivaltaisella turvallisuusviranomaisella ennen tiedon käsittelyn aloittamista. Myös suomalainen viranomainen voi edellyttää esimerkiksi tietojärjestelmää hankkiessaan, että järjestelmälle on annettu viranomaishyväksyntä. Viranomaishyväksyntä tehdään aina toimivaltaisen turvallisuusviranomaisen toimesta, mutta se voidaan kuitenkin antaa arviointilaitoksen tekemän arvioinnin perusteella, kun arviointilaitos on suorittanut arvioinnin, jossa todetaan arvioinnin kohteen toiminnan ja toimitilojen täyttävän sovelletun arviointikriteeristön mukaiset vaatimukset, ja arviointilaitos on antanut arvioinnin perusteella todistuksen. Toimivaltainen turvallisuusviranomainen voi hyväksyntää varten tarvittaessa suorittaa tarkentavia arviointeja tai pyytää arvioinnin kohteelta lisäselvitystä sen selvittämiseksi ja varmistamiseksi, että arvioinnin kohde täyttää soveltuvat tietoturvallisuusvaatimukset. Tarkentavat arvioinnit ja lisäselvitykset ovat tarpeen erityisesti silloin, kun kyse on kansainvälisen tietoturvallisuusvelvoitteen mukaisesti annettavasta todistuksesta. Viestintäviraston antama viranomaistodistus on voimassa enintään 3 vuotta. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx 35 (44) Ohje 29.1.2015 Arviointilaitoksen suorittama arviointi Arviointiilaitoksen odistus vaatimukset täyttävälle kohteelle Turvallisuusviranomaisen täydentävä arviointi tai selvitys Viranomaishyväksyntä tai -todistus tietojärjestelmälle Pyyntö viranomaishyväksynnälle todistuksen perusteella Kuva 5. Kohteen hyväksymismenettely Viranomaishyväksynnän hakemista on kuvattu yksityiskohtaisemmin Viestintäviraston ohjeessa "Viestintäviraston NCSA-toiminnon suorittamat tietoturvallisuustarkastukset - Tilaajaorganisaation näkökulma"32. 6 Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi Sosiaali- ja terveydenhuollon tietojärjestelmillä tarkoitetaan sosiaali- tai terveydenhuollon asiakastietojen sähköistä käsittelyä varten toteutettua ohjelmistoa tai järjestelmää, jonka avulla tallennetaan ja ylläpidetään asiakas- tai potilasasiakirjoja. Myös välityspalvelut, joilla sosiaali- tai terveydenhuollon asiakastietoja välitetään Kansaneläkelaitoksen ylläpitämiin valtakunnallisiin tietojärjestelmäpalveluihin, ovat sosiaali- ja terveydenhuollon järjestelmiä. Näitä tietojärjestelmiä koskee sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annettu laki (159/2007, "asiakastietolaki"), jossa määritellään tietojärjestelmien olennaiset vaatimukset ja niiden osoittaminen. Vaatimuksia sovelletaan myös sähköisestä lääkemääräyksestä annetun lain (61/2007) mukaan myös sähköisen lääkemääräyksen laadinnassa ja toimittamisessa käytettäviin tietojärjestelmiin ja niitä tukeviin ohjelmistoihin. Tietojärjestelmät jaotellaan käyttötarkoituksensa ja ominaisuuksiensa perusteella luokkiin A ja B, ja näiden järjestelmien tulee täyttää yhteentoimivuutta, tietoturvaa ja tietosuojaa sekä toiminnallisuutta koskevat olennaiset vaatimukset. Luokkaan A kuuluvien järjestelmien tietoturvallisuuden vaatimuksenmukaisuus on osoitettava Viestintäviraston hyväksymän tietoturvallisuuden arviointilaitoksen antamalla todistuksella. Tietojärjestelmäpalvelun tarjoajan tulee pyytää hyväksytyn Kansaneläkelaitoksen yhteistestauksen jälkeen hyväksytyltä tietoturvallisuuden arviointilaitokselta järjestelmän arviointia ja jos järjestelmä täyttää olennaiset vaatimukset, laitos antaa järjestelmästä vaatimustenmukaisuustodistuksen. Terveyden ja hyvinvoinnin laitos (THL) antaa tarkempia määräyksiä olennaisten vaatimusten sisällöstä. Tietoturvaa koskevat olennaiset 32 www.ncsa.fi > Asiakirjat > "Viestintäviraston NCSA-toiminnon suorittamat tietoturvallisuustarkastukset". DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 36 (44) 29.1.2015 vaatimukset pohjautumaan valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) hyväksymiin tietoturvaohjeistoihin. Mikäli tietoturvallisuuden arviointilaitoksen pätevyysalue kattaa valtiovarainministeriön ohjeet tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (ks. 4.2.1.1), voi se tehdä sosiaalija terveydenhuollon tietojärjestelmien arvioinnin ja antaa olennaisten vaatimusten täyttymistä koskevan todistuksen. Asiakastietolain mukaisten luokan A kuuluvien järjestelmien arviointi toteutetaan tietoturvallisuuden arviointilaitoksista annetun lain, viranomaisten tietojärjestelmien tietoturvallisuudesta annetun lain mukaisesti sekä noudattaen asiakastietolain säännöksissä olevia erityisesti sosiaali- ja terveydenhuollon järjestelmien arvioinnissa noudatettavia menettelyjä, jotka koskevat arvioinnin suorittamista, todistuksen antamista ja sen ylläpitoa sekä arviointilaitoksen ilmoitusvelvollisuutta. 6.1 Tietoturvallisuuden arvioinnin suorittaminen ja todistuksen antaminen Sosiaali- ja terveydenhuollon tietojärjestelmien arviointi toteutetaan THL:n antamissa määräyksissä kuvattuja tietoturvallisuusvaatimuksia vasten. Arvioinnissa noudatetaan tämän ohjeen sekä THL:n määräyksessä kuvattuja menettelyjä. Asiakastietolain mukaiseen arviointiin ei sisälly tietojärjestelmän valmistajan eikä käyttäjän toimitilojen arviointi eikä tarkastaminen. Arviointi tapahtuu tietojärjestelmäpalvelun tarjoajan hakemuksesta ja arviointilaitoksella on oikeus saada hakijalta kaikki arvioinnin edellyttämät tiedot vaatimuksenmukaisuustodistuksen laatimiseksi ja ylläpitämiseksi. Mikäli tietojärjestelmä täyttää THL:n määräyksen mukaiset vaatimukset ja Kansaneläkelaitos on antanut puoltavan lausunnon yhteentoimivuutta koskevien vaatimusten täyttämisestä, tietoturvallisuuden arviointilaitoksen on annettava tietojärjestelmäpalvelun tarjoajalle vaatimuksenmukaisuustodistus ja tarkastusraportti. Todistus on voimassa enintään viisi vuotta. Voimassaoloaika voi arviointilaitoksen harkinnan mukaan olla lyhyempikin esimerkiksi, jos tietojärjestelmän kehitysvaiheen tai tiedossa olevan olennaisten vaatimusten uudistamisen vuoksi on ilmeistä, ettei tietojärjestelmä täytä olennaisia vaatimuksia ilman merkittäviä muutoksia viittä vuotta. 6.2 Käyttöönoton jälkeinen seuranta ja laitoksen ilmoitusvelvollisuus Tietojärjestelmäpalvelujen tarjoajan on ilmoitettava tietoturvallisuuden arviointilaitokselle tietojärjestelmien merkittävistä poikkeamista sekä tietojärjestelmän muutoksista. Arviointilaitoksen antama todistus on uudistettava, jos tietojärjestelmään tehdään merkittäviä muutoksia tai olennaisia vaatimuksia on muutettu. Jos arviointilaitos toteaa, ettei järjestelmä enää täytä sille asetettuja vaatimuksia tai todistusta ei olisi tullut myöntää, arviointilaitoksen on kehotettava tietojärjestelmäpalvelujen tarjoajaa korjaamaan puutteet. Arviointilaitos voi peruuttaa todistuksen määräajaksi tai kokonaan taikka myöntää se rajoitettuna, jollei tietojärjestelmäpalvelujen tarjoaja korjaa puutteellisuuksia DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 37 (44) 29.1.2015 arviointilaitoksen asettamassa määräajassa33. Rajoitus voi koskea esimerkiksi todistuksen voimassaoloaikaa tai tietoja, joiden käsittelyssä järjestelmää saa käyttää. Tietoturvallisuuden arviointilaitoksen on ilmoitettava Sosiaalija terveysalan lupa- ja valvontavirastolle sekä Kansaneläkelaitokselle tiedot kaikista myönnetyistä, muutetuista, täydennetyistä, määräajaksi tai kokonaan peruutetuista tai evätyistä vaatimuksenmukaisuustodistuksista. Laitoksen on myös pyydettäessä annettava lupa- ja valvontavirastolle kaikki tarvittavat lisätiedot tietojärjestelmistä, joille arviointilaitos on myöntänyt vaatimustenmukaisuustodistuksen. 7 Arviointilaitoksen valvonta ja laadunhallinta 7.1 Arviointilaitosten ohjaus ja valvonta Viestintävirasto ohjaa ja valvoo hyväksyttyjä tietoturvallisuuden arviointilaitoksia tavoitteinaan turvata laadukas ja luotettava tietoturvallisuuden arviointitoiminta sekä varmistaa laitosten yhdenmukaiset toimintatavat. Ohjauksen ja valvonnan keinoja ovat arviointilaitosten ohjeistaminen ja viranomaisneuvonta, hyväksymiseen liittyvien ehtojen ja rajoitusten asettaminen sekä arviointilaitosten toiminnan valvonta, jota voidaan toteuttaa esimerkiksi laitoksen toimintaan ja tuotoksiin kohdistuvilla tarkastuksilla. Tarkastuksia voidaan toteuttaa määräaikaistarkastuksina ja viranomaishyväksyntään tulevien tai muiden kohteiden pistokoemaisena arvioimisena. 7.1.1 Hyväksymispäätös ja sen valvonta Viestintävirasto hyväksyy saamiensa ja laatimiensa selvitysten perusteella vaatimukset täyttävän laitoksen arviointilaitoslaissa tarkoitetuksi hyväksytyksi tietoturvallisuuden arviointilaitokseksi. Hyväksyntä voidaan antaa määräajaksi, jos siihen on erityinen syy. Tällainen syy voi olla esimerkiksi akkreditointipäätöksen määräaikaisuus. Hyväksymispäätökseen voidaan liittää laitoksen pätevyysaluetta, valvontaa sekä sellaisia toimintaa koskevia rajoituksia ja ehtoja, jotka ovat tarpeen tehtävien hoidon asianmukaiseksi varmistamiseksi Hyväksytty arviointilaitos voi markkinoinnissaan ja muussa viestinnässään käyttää hyväksymistä koskevaa ilmaisua, jollei hyväksymistä koskeva määräaika ole päättynyt tai Viestintävirasto ei ole päättänyt hyväksynnän peruuttamisesta. 7.1.2 Viestintäviraston tarkastus- ja tiedonsaantioikeus Viestintävirastolla ja sen toimeksiannosta toimivalla asiantuntijalla on oikeus tarkastaa hyväksyntää hakeneen tai hyväksytyn tietoturvallisuuden arviointilaitoksen tilat sekä sen käytössä olevat menetelmät. Lisäksi Viestintävirastolla on oikeus pyynnöstä saada arviointilaitokselta ne tiedot, 33 Määräajan pituutta määritettäessä on otettava huomioon tietojärjestelmän korjaamiseksi tarvittava kohtuullinen aika. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 38 (44) 29.1.2015 jotka ovat tarpeen sen valvomiseksi, että laitos täyttää toimintaansa koskevat vaatimukset. 7.1.3 Arviointilaitoksen hyväksymisen peruuttaminen Arviointilaitoksen on tunnettava arviointitoimintaa koskeva lainsäädäntö sekä muut toimintaan liittyvät vaatimukset. Laitoksen on myös noudatettava mahdollisia akkreditointipäätöksen ja tietoturvallisuuden arviointilaitoksen hyväksymispäätöksen ehtoja, rajoituksia ja muita määräyksiä. Jos hyväksytty tietoturvallisuuden arviointilaitos toimii olennaisesti tai jatkuvasti säännösten vastaisesti tai se ei enää täytä hyväksymiselle asetettuja vaatimuksia, voi Viestintävirasto peruuttaa hyväksynnän. Ennen hyväksynnän peruuttamista Viestintävirasto kehottaa arviointilaitosta korjaamaan puute määräajassa. Peruuttamispäätöksessä voidaan määrätä, että päätöstä noudatetaan muutoksenhausta huolimatta, ellei muutoksenhakuviranomainen toisin määrää. Arviointilaitoksen toimenpiteet, jotka voivat johtaa korjauspyyntöön tai hyväksynnän peruuttaminen, arvioidaan tapauskohtaisesti. Kuitenkin tietoturvallisuuden arviointilaitoksen tehtävien luonteen vuoksi esimerkiksi salassapitoon ja tietoturvallisuuteen liittyvien velvoitteiden laiminlyöntejä voidaan pitää olennaisina puutteina laitoksen toiminnassa. 7.2 Arviointilaitoksen tiedonanto- ja ilmoitusvelvollisuus Arviointilaitoksen on ilmoitettava Viestintävirastolle sellaisesta toimintaansa koskevasta muutoksesta, jolla on merkitystä laitosta koskevien velvoitteiden kannalta. Epäselvissä tapauksissa muutoksista on syytä joka tapauksessa ilmoittaa, jolloin hyväksynnän antanut viranomainen tekee ratkaisun siitä, onko muutoksella merkitystä laitoksen velvoitteiden kannalta. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 29.1.2015 Arviointilaitosten pätevyysvaatimukset ja toiminnan ohjeistaminen Akkreditointikriteerit, lainsäädännön vaatimukset Viestintäviraston ohjeistus ja tulkintakäytännöt Arviointilaitoksen hyväksyntä Akkreditoinnin ja hyväksynnän ylläpito ja siihen liittyvät valvontatoimet Arviointilaitoksen tuotosten laadunseuranta Viranomaishyväksyntään tulevien arviointiraporttien seuranta ja tarvittaessa reklamointi Kuva 6. Arviointilaitosten toiminnan laadun varmistaminen DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx 39 (44) Ohje 29.1.2015 8 Ohjeen voimaantulo Tämä ohje tulee voimaan 7. päivänä toukokuuta 2013. Helsingissä 7. päivänä toukokuuta 2013 9 Pääjohtaja Asta Sihvonen-Punkka Johtaja Kirsi Karlamaa LIITTEET 1. Tietoturvallisuuden arviointitoimintaa ohjaavat keskeiset normit 2. Arviointiraporttimalli DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx 40 (44) 41 (44) Ohje 29.1.2015 Liite 1. Tietoturvallisuuden arviointitoimintaa ohjaavat keskeiset normit Tässä liitteessä luetellaan tietoturvallisuuden arviointilaitoksen toiminnan kannalta keskeiset normit, jotka arviointilaitoksen lukuun työskentelevien henkilöiden on tunnettava. I Lainsäädäntö • Laki viranomaisten toiminnan julkisuudesta (621/1999) Julkisuuslaissa säädetään viranomaisen asiakirjojen julkisuudesta ja salassapitoperusteista sekä muista tietojen saantia koskevista yleisten ja yksityisten etujen suojaamiseksi välttämättömistä rajoituksista. • Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999) Julkisuusasetuksessa toteuttamisesta. • säädetään mm. hyvän tiedonhallintatavan Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) Asetuksessa säädetään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista. • Laki tietoturvallisuuden arviointilaitoksista (1405/2011) Laissa säädetään arviointilaitoksen hyväksymisvaatimuksista menettelystä, tehtävistä sekä velvollisuuksista. • ja Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista (1406/2011) Laissa säädetään viranomaisten tietojärjestelmien tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista tietoturvallisuuden arviointiperusteista. • - ja sekä Laki sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) Laissa säädetään sosiaali- ja terveydenhuollon asiakastietojen käsittelyssä käytettävien tietojärjestelmien tietoturvallisuusvaatimuksista, niiden todentamisesta sekä hyväksytyn tietoturvallisuuden arviointilaitoksen tehtävistä • • Laki sähköisestä lääkemääräyksestä (61/2007) Laissa säädetään sähköisestä lääkemääräyksestä, jonka laadinnassa ja toimittamisessa käytettävät tietojärjestelmät on ennen niiden käyttöönottoa arvioitava sosiaali- ja terveydenhuollon asiakastietojen DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 42 (44) 29.1.2015 sähköisestä käsittelystä annetun lain mukaisesti. Henkilötietolaki (523/1999) Laissa säädetään henkilötietojen käsittelyssä noudatettavista vaatimuksista mukaan lukien tietoturvallisuuteen ja tietojen käsittelyä koskevat säännökset. • Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) Laissa säädetään toimenpiteistä kansainvälisten tietoturvallisuusvelvoitteiden mukaisten erityissuojattavien tietoaineistojen suojaamiseksi tehtävistä tietoturvallisuustoimenpiteistä, joita ovat muun muassa henkilö- ja yritysturvallisuusselvitykset sekä niiden perusteella laadittavat todistukset34. • Turvallisuusselvityslaki (726/2014) Laissa säädetään muun muassa henkilö- ja yritysturvallisuusselvitysten laatimisen edellytyksistä, selvitysten laadinnassa noudatettavasta menettelystä sekä turvallisuusselvityksen ja sen perusteella annetun todistuksen voimassaolosta ja todistuksen peruuttamisesta. II Päätökset • • III FINAS-akkreditointipalvelun akkreditointipäätös ehtoineen Viestintäviraston hyväksymispäätös ehtoineen Ohjeet ja tulkintalinjaukset • • Viestintäviraston Arviointilaitos-ohje Tulkintalinjaukset ja muut ohjeistukset, jotka luetellaan Viestintäviraston Internet-sivuilla tai jotka muuten on annettu tiedoksi arviointilaitoksille Tulkintalinjaukset koskien kansallisia tietoturvallisuusvaatimuksia Pääasiakirja: Valtiovarainministeriön ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI 2/2010) Tulkintaohjeet: • • • Sisäverkko-ohje (VAHTI 3/2010) Teknisen ICT-ympäristön tietoturvataso-ohje (VAHTI 3/2012) Valtionhallinnon toimitilojen tietoturvaohje (VAHTI 2/2013) VAHTI-julkaisuissa viitataan joidenkin vaatimusten osalta Kansalliseen turvallisuusauditointikriteeristöön (KATAKRI). Näiden vaatimusten täyttymisen todentaminen tulee toteuttaa KATAKRI:ssa kuvattujen määritysten mukaisesti. Tulee myös huomioida, että viranomaishyväksynnän ehtona on hallinnollisen turvallisuuden lisäksi aina myös teknisten suojausvaatimusten täyttäminen. 34 Niin sanotut PSC (Personal Security Clearance) ja FSC (Facility Security Clearance) todistukset. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 43 (44) 29.1.2015 • Terveyden ja hyvinvoinnin laitoksen määräys sosiaali- ja terveydenhuollon järjestelmien olennaisista vaatimuksista. Tulkintalinjaukset koskien kansainvälisiin tietoturvavelvoitteisiin perustuvia tietoturvallisuusvaatimuksia Pääasiakirja: KATAKRI Tulkintaohjeet: • Viestintäviraston tulkintakäytännöt Muut tietoturvallisuuteen liittyvät vaatimukset • ICT-varautumisen vaatimukset (VAHTI 2/2012) DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx Ohje 44 (44) 29.1.2015 Liite 2. Arviointiraporttimalli Tietoturvallisuuden arvioinnin pohjalta on laadittava arviointiraportti, jonka tulee pitää sisällään ainakin seuraavat kohdat riittävällä laajuudella perusteltuina. • Kuvaus arvioinnin kohteesta • Tarkastusten tekijät • Tarkastusten ajankohdat • Käytetyt kriteeristöt • Kuvaus tarkastuksen rajauksista • Vaatimuskohtainen erittely (ohjeellinen esimerkkitoteutustapa) Vaatimus-ID I 401.0 Arviointitulos OK I 402.0 OK Perustelu Verkkorakenne täyttää sille asetetut vaatimukset (muista verkoista fyysisesti eroteltu erillisverkko, johon ei ulkoisia liittymiä, tiedon tuonti ja vienti käsitelty kohdissa I 503.0 ja I 706.0). Asiakkaan toimittama verkkokuva taltioituna dokumenttiin AAA. Aktiivisten skannausten sekä passiivisen liikenneanalyysin perusteella rakennettu tekninen, toimitetun verkkokuvan kanssa yhtenevä näkymä verkkorakenteeseen taltioitu dokumenttiin BBB. Ko. erillisverkossa palomuuraus III-vyöhykkeen työasemien hankekohtaisten verkkojen, sekä hankeverkkojen ja yhteisten palvelujen (AD, RSA, lokijärjestelmä) välillä (ks. verkkokuva kohdasta I 401.0) sekä lisäksi työasemakohtaisilla sovellusmuureilla. Palomuurisäännöstöt täyttävät niille asetetut vaatimukset. Vyöhykkeiden välisten palomuurien säännöstöt taltioitu dokumenttiin CCC, työasemien säännöstö dokumenttiin DDD. Säännöstöjen toimivuus todennettu konfiguraatioon tutustumalla, porttiskannauksilla (työasemahankeverkko yhteiset palvelut, yhteiset palvelut työasemaverkko, työasemahankeverkko A työasemahankeverkko B), sekä vastuuhenkilöstöä haastattelemalla (muistiinpanot dokumentissa EEE). Tilanteissa, joissa vaatimus arvioidaan täyttyväksi alkuperäistä vaatimusta vastaavan tasoisilla korvaavilla suojauksilla, merkitään kyseisen kohdan arviointitulos merkinnällä "OK", "Vihreä" (tai vast. merkintä) ja perusteluissa kuvataan asia yksityiskohtaisemmin. Tilanteissa, joissa vaatimus täytetään alkuperäistä heikommiksi arvioiduilla korvaavilla suojauksilla, merkitään kyseisen kohdan arviointitulos merkinnällä "Osin OK", "Keltainen" (tai vast. merkintä) ja perusteluissa kuvataan asia yksityiskohtaisemmin. DOHA-#4464818-v4-Ohje_tietoturvallisuuden_arviointilaitoksille__Versio_2_0.docx
© Copyright 2024