ict- ympä-...julkisen hallinnon ict-toiminto ohje 22.11.2012 ministeriöille, virastoille ja...

TeknisenICT-ympä-ristöntieto-turva-taso-ohje

Valtionhallinnon tietoturvallisuuden johtoryhmä

VAHT

I

3/2012

Teknisen ICT-ympäristön tietoturvataso-ohje

3/2012 VAHTI

Valt ionhallinnon t ietotur vallisuuden johtor yhmä

VALTIOVARAINMINISTERIÖPL 28 (Snellmaninkatu 1 A) 00023 VALTIONEUVOSTOPuhelin 0295 16001 (vaihde)Internet: www.vm.fiTaitto: Pirkko Ala-Marttila / VM-julkaisutiimi

ISSN 1455-2566 (nid.)ISBN 978-952-251-382-3 (nid.)ISSN 1798-0860 (PDF)ISBN 978-952-251-383-0 (PDF)

Suomen Yliopistopaino Oy - Juvenes Print, 2012

________________________________________________________________________________________________ VALTIOVARAINMINISTERIÖ PL 28, 00023 VALTIONEUVOSTO PUH. (09) 16001

VALTIOVARAINMINISTERIÖ

VM/1991/00.00.00/2012

Julkisen hallinnon ICT-toiminto OHJE 22.11.2012

Ministeriöille, virastoille ja laitoksille

TEKNISEN ICT-YMPÄRISTÖN TIETOTURVATASO –OHJE

Asetus tietoturvallisuudesta valtionhallinnossa (681/2010) tuli voimaan 1.10.2010. Tämä tekninen ohje on osa asetuksen täytäntöönpanon ohjausta yhdessä asetuksen täytäntöön-pano-ohjeen VAHTI 2/2010 sekä sisäverkko-ohjeen VAHTI 3/2010 kanssa. Ohje on suunnattu valtionhallinnon ICT- ja tietoturvahenkilöstölle tietoturvatasojen tek-nisen toteuttamisen tueksi. Ohjeeseen sisältyy teknisen tietotekniikkaympäristön vaati-musten kuvauksia sekä esimerkkejä ja kilpailuttamiseen liittyviä tietoturvanäkökohtia koskien ICT-palveluja. Ohjeeseen liittyy myös työvälineitä, joita toimijat voivat hyödyn-tää tuottaessaan tai hankkiessaan ICT-palveluita. Valtionhallinnon organisaatioiden tulee ulottaa tietoturvallisuustasojen vaatimukset sekä sisäisiin että ulkoisiin palvelutoimittajiin. Lisätietoja antavat tietoturvallisuusasiantuntija Aku Hilve ja tekninen päällikkö Aarne Hummelholm Julkisen hallinnon ICT-toiminnossa.

Hallinto- ja kuntaministeri Henna Virkkunen Yksikön päällikkö Mikael Kiviniemi VAHTIn puheenjohtaja

Liite: Teknisen ICT-ympäristön tietoturvataso –ohje (VAHTI 3/2012)

Lyhyesti VAHTIstaValtiovarainministeriö ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallin-non tietoturvallisuuden kehittämistä. Ministeriön asettama Valtionhallinnon tietoturval-lisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturval-lisuuden linjaukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä pää-töksenteossa ja sen valmistelussa.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toi-mintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulo-sohjausta.

VAHTI edistää hallitusohjelman, Yhteiskunnan turvallisuusstrategian (YTS), JulkICT-strategian, valtioneuvoston huoltovarmuuspäätöksen, kansallisen tietoturvastrategian, val-tioneuvoston periaatepäätöksen valtion tietoturvallisuuden kehittämisestä ja hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä valtion tietoturvallisuutta ja sii-hen liittyvää yhteistyötä.

Valtioneuvosto teki 26.11.2009 periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä. Periaatepäätös korostaa VAHTIn asemaa ja tehtäviä hallinnon tietotur-vallisuuden ohjaamisen, kehittämisen ja koordinaation elimenä. Peiaatepäätöksen mukai-sesti hallinnonalat kohdistavat varoja ja resursseja tietoturvallisuuden kehittämiseen ja VAHTIssa koordinoitavaan yhteistyöhön.

VAHTI toimii hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauk-sesta astaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä sekä edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä.

VAHTIn toiminnalla parannetaan valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on aikaansaatu yksi maailman kattavimmista yleisistä tietoturvaohjeistoista (www.vm.fi/vahti). VM:n ja VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen tie-toturvayhteishankkeita sekä laaja valtion tietoturvallisuuden kehitysohjelma.

VAHTI on saanut kolme kertaa tunnustuspalkinnon esimerkillisestä toiminnastaan Suomen tietoturvallisuuden parantamisessa.

http://www.vm.fi/vahti

SisältöLyhyesti VAHTIsta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1 Johdanto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111.1 Sanasto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151.2 Rajaukset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171.3 Lukuohje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

2 Keskeiset vaatimukset ICT-ympäristön tietoturvallisuuden toteuttamiseksi . . . . . 192.1 Tietoturvallisuusasetuksen vaatimukset tietoturvallisuudelle . . . . . . . . . . . . . . . . . . . . . . . .19

2.1.1 Tietoturvallisuusasetuksen vaatimusten toteuttaminen organisaatiossa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

2.2 Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242.3 Tietoaineistojen käsittely ja luokittelu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .252.4 Tietoturvatasot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .272.5 Kansallinen turvallisuusauditointikriteeristö (KATAKRI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

3 Suojattavien kohteiden määritteleminen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313.1 Suojattavien kohteiden määrittämisessä huomioitavaa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .313.2 Tietoturvallisuusasetuksen vaatimukset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .323.3 Miten suojattavien kohteiden rajaus tulisi suorittaa? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .333.4 Järjestelmän tärkeysluokka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

4 Vaatimukset tekniselle tietotekniikkaympäristölle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394.1 Yleisiä vaatimuksia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .394.2 Työasemat ja päätelaitteet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40

4.2.1 Kaikissa päätelaitteissa sekä palvelimissa huomioitavia seikkoja . . . . . . .414.2.2 Kannettavissa päätelaitteissa huomioitavia seikkoja . . . . . . . . . . . . . . . . . . . . . . . . . .454.2.3 Pääteistunnoissa huomioitavia seikkoja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

4.3 Erityisesti huomioitavia teknisiä ratkaisuja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .484.3.1 Käyttäjän tunnistaminen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .484.3.2 Tietojen salaaminen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .484.3.3 Tulostinjärjestelmät ja tulostaminen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .504.3.4 Palveluiden etäkäyttö . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

4.4 ICT-palveluiden tuottaminen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .524.4.1 Itse ylläpidetty vai ulkoistettu ICT-palvelu? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .524.4.2 XaaS – palveluiden tuotantomalleina . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .534.4.3 Palveluiden tuotantomallit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

4.5 Esimerkkejä palveluiden luokittelusta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .654.5.1 Esimerkki perustason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä – organisaation julkinen www-palvelin . . . . . . . . . . . . . . . . . . . . . . . .654.5.2 Esimerkki korotetun tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä – organisaation ydintoimintaa tukeva järjestelmä 1/2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .684.5.3 Esimerkki korkean tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä – organisaation ydintoimintaa tukeva järjestelmä 2/2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .704.5.4 Esimerkki korkean tason tietoturvavaatimukset täyttävästä teknisestä ympäristöstä – erillisverkkoratkaisu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73

4.6 ICT-palvelun kilpailuttamisessa huomioitavaa tietoturvallisuuden osalta . . . . . .75

5 Työkalut ja muut ohjeen käyttöönottoa tukevat apuvälineet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .775.1 Liite 1: Salassa pidettävien asiakirjojen ja tietojen käsittelyvaatimukset (yleiset + koko elinkaarta koskevat vaatimukset) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .775.2 Liite 2: TTT - Tietoturvallisuuden hallinnan vaatimukset . . . . . . . . . . . . . . . . . . . . . . . . . . . . .775.3 Liite 3: TTT - Tietojärjestelmien hallinnan vaatimukset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .795.4 Liite 4: Tärkeysjärjestys-apuväline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .795.5 Liite 5: Järjestelmien välinen riippuvuus –työkalu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .815.6 Liite 6: Palveluiden tuottamisen valinta –apuväline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .815.7 Liite 7: Etäkäytön tekniset vaatimukset -työkalu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .825.8 Liite 8: Ympäristön ja järjestelmien kuvauksen-apuväline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .825.9 Kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyohje . . . . . . . . . . . . . . . .82

Liite 1 Voimassa olevat VAHTI -julkaisut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84

11

1 Johdanto Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa astui voimaan 1.10.2010. Sitä täydentävä VAHTI-ohje 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta julkaistiin 28.10.2010. Nämä kaksi asiakirjaa muodostavat valtionhallinnolle keskeisen rungon tietoturvallisuuden toteuttamiseksi tietoaineistojen käsittelyssä.

Tämä ohje on laadittu kuvaamaan yksityiskohtaisemmin tietoaineistojen käsittelyyn sen elinkaaren eri vaiheissa sekä tietoturvatasoihin (TTT) liittyviä teknisiä vaatimuksia. Ohjeessa esitetään hyviä käytäntöjä sekä tarkennetaan tietoturvatasojen vaatimuksia, jol-loin niitä voidaan helpommin soveltaa valtionhallinnossa käytössä oleviin tai tuleviin pro-sesseihin sekä teknisiin ratkaisuihin.

Tietoaineistojen käsittelyyn liittyvien ohjeiden lisäksi VAHTI 2/2010 -ohje sisältää liit-teessä 5 Tietoturvallisuustasojen yksityiskohtaiset vaatimukset, tarkempia kontrollivaati-muksia, jotka jakaantuvat kahteen osaan; Tietoturvallisuuden hallinnan vaatimuksiin ja Tietojärjestelmien hallinnan vaatimuksiin. Vaikka niissä kuvataankin tietojärjestelmiin kohdistuvia vaatimuksia, niin ne kohdistuvat myös tietojärjestelmien hallinnan menettelyi-hin, prosesseihin ja vastuisiin ja näin ollen osa vaatimuksista on luonteeltaan hallinnollisia.

Edellä mainittujen ohella tietoturvallisuuteen liittyy muita vaatimuksia, jotka kaikki yhdessä aiheuttavat organisaatiolle tarpeen kehittää ja ylläpitää omaa tietoturvallisuuttaan. Muut vaatimukset johtuvat organisaation toiminnan luonteesta tai ne ovat muun lainsää-dännön tai sopimuskumppaneiden asettamia, esimerkiksi:

• Laki viranomaisten toiminnan julkisuudesta (621/1999) ja Asetus viranomaisten toiminnan julkisuudesta ja hyvästä tiedonhallintatavasta (1030/1999)

• Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004)• Laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden

arvioinnista (1406/2011)• Laki tietoturvallisuuden arviointilaitoksista (1405/2011)

Viranomaisen tulee huolehtia kaikkien velvoitteiden toteutumisesta myös ulkoistaes-saan toimintoja ulkopuoliselle yritykselle tai ostaessaan niiltä palveluita. Ulkoistuskump-panille ja sen alihankintaverkostolle tulee kohdistaa samat vaatimukset kuin ulkoistavalle viranomaiselle teknisen tietotekniikkaympäristön toteuttamisessa.

12Osana tietoturvallisuuden hallintajärjestelmän ja yksittäisten suojattavien kohteiden

kehittämistä vastaamaan tietoturvatasojen vaatimuksia, organisaation tulee tarkkaan etu-käteen selvittää ja rajata, miten se toteuttaa perus- ja korotetun tietoturvatason tekniset ympäristöt. Samassa yhteydessä organisaation tulee selvittää, onko heillä sellaisia suojattavia kohteita, jotka edellyttävät virallista tarkastusta ja hyväksyntää Viestintäviraston toimesta ja mikäli sellaisia on, minkä vaatimus- tai auditointikriteeristön mukaisesti auditointi tul-laan kohteeseen suorittamaan. Täten oikeaoppisella ennakkosuunnittelulla huolehditaan vaadittavan tietoturvatason toteuttamisesta kustannustehokkaasti sekä kesällä 2012 voi-maan astuneet lait huomioiden.

Kuva 1. Organisaation tietotur vallisuuteen vaikuttavat useat eri tekijät, joista osa on lainsäädännöllisiä ja osa tulee esimerkiksi ohjeiden ja sopimusvelvoitteiden kautta. Entistä tärkeämpiä ovat organisaation ydintoiminnan asettamat toiminnan jatkuvuuteen ja tiedon turvaamiseen liittyvät vaatimukset, joiden merkitys korostuu yhteiskunnan palveluiden sähköistyessä.

Tätä ohjetta täydentämään on laadittu työvälineitä, joiden avulla valtiohallinnossa voi-daan yhtenäisesti arvioida suojattavien kohteiden tärkeyttä ja ICT-palveluiden tuotanto-mallia sekä niiden välisiä riippuvuuksia. Niiden perusteella organisaatio voi rajata niitä vaihtoehtoisia tuotantomalleja, joita se voi käyttää tuottaessaan itse tai hankkiessaan ICT-palveluita markkinoilta. Työväline on hyödyllinen erityisesti tilanteissa, joissa organisaatio ostaa käyttö- tai sovellusylläpitopalveluita kaupalliselta toimittajalta, joka haluaa käyttää palvelun tuottamiseen jaettua kapasiteettia, palvelin- tai työasemavirtualisointia, pilvipal-velua tai sijoittaa niiden tuottamisessa tarvittavia palvelimia, tietovarastoja tai asiantunti-japalveluita Suomen ulkopuolelle.

Organisaation tietoturvallisuus

LainsäädäntöSopimuksetsekä muutvelvoitteet

Suosituksetja muutohjeet

Henkilö-tietolaki

Sähköisenviestinnäntietosuoja-

laki

Julkisuus-laki ja

tietotur-vallisuus-

asetus

Yhteis-kunnanturvalli-

suus-strategia

Turvalli-suus-

sopimuk-set

Kv- jamuut

sopimuk-set

VAHTI-ohjeisto

KATAKRI-auditointi-kriteeristö

Keskeisiä esimerkkejä edellä mainittuihin kohtiin

Ydintoiminnan (liiketoiminnan) vaatimukset

13Tämä ohje on suunnattu organisaatioiden ICT- ja tietoturvahenkilöstölle sekä muille

tietoaineistojen käsittelystä vastaaville henkilöille. Sitä voivat hyödyntää myös palveluita valtionhallinnon organisaatioille tarjoavat toimittajat ja alihankkijat, joiden tulee palve-luita tuottaessaan täyttää valtionhallinnon organisaation sen palvelulle asettamat tietotur-vavaatimukset. Valmisteltava VAHTIn päätelaitteiden tietoturvaohje sisältää henkilöstölle tarkoitetut ohjeet eri pääteratkaisuja käytettäessä.

Ohje keskittyy tietoturvallisuutta ylläpitävien teknisten ratkaisujen toteutukseen ja ohjeen käyttö edellyttää laajemman tietoturvasuunnittelun toteutusta ennen teknistä toteu-tusta. Tietoturvallisuuden toteuttamista teknillisissä ratkaisuissa ei voida suorittaa mie-lekkäästi ja kustannustehokkaasti ilman kuvausta organisaation toiminnan tavoitteista ja uhkakuvista.

Ohjeen teknisestä luonteesta ja teknologian nopeasta kehittymisestä johtuen ohjetta ja siihen liittyviä Excel-työvälineitä tullaan ylläpitämään ja päivittämään sähköisesti. Tuo-reimmat versiot löytyvät sekä Valtiovarainministeriön www-sivuilta http://www.vm.fi/vm/fi/13_hallinnon_kehittaminen/09_Tietoturvallisuus/02_tietoturvaohjeet_ja_maaraykset/index.jsp että Valtion IT-palvelukeskuksen työkalupakista. Käyttöoikeuden työkalupakkiin saavat valtionhallinnon tietoturvavastaavat, sitä voi anoa sähköpostitse osoitteesta [email protected].

Kuva 2. Tietoturvallisuus on nimensä mukaisesti organisaatiossa käsiteltävän tiedon suojaamista. Tätä voidaan toteuttaa sekä hallinnollisilla prosesseilla että teknisillä ratkaisuilla. Nämä pitää mitoittaa aina suojattavan kohteen merkityksen mukaa, arvioinnissa pitää käyttää apuna riskienhallintaa. Tässä yhteydessä tulee erityisesti huolehtia tietoaineiston saatavuudesta vaikka tietoaineiston luottamuksellisuuteen liittyisi mahdollisesti tiukkojakin vaatimuksia.

Suojattava tietoaineisto (data)

Hallinnolliset prosessit tietoaineiston suojaamiseksi

Tekniset ratkaisut tietoaineiston suojaamiseksi

Luottamuksellisuus - eheys - saatavuus

http://www.vm.fi/vm/fi/13_hallinnon_kehittaminen/09_Tietoturvallisuus/02_tietoturvaohjeet_ja_maaraykset/index.jsphttp://www.vm.fi/vm/fi/13_hallinnon_kehittaminen/09_Tietoturvallisuus/02_tietoturvaohjeet_ja_maaraykset/index.jsphttp://www.vm.fi/vm/fi/13_hallinnon_kehittaminen/09_Tietoturvallisuus/02_tietoturvaohjeet_ja_maaraykset/index.jsphttp://[email protected]://[email protected]

14Kuva 3. Tietoaineistoa säilytetään tyypillisesti tietovarastossa, esimerkiksi tietokannassa tai muuten palvelimelle tallennettuna. Jotta tietoa voidaan hyödyntää ja käsitellä sekä välittää, edellyttää se paljon muita teknologisia ratkaisuja (päätelaitteet, tietoliikenne, ympäristön fyysinen tietoturvallisuus).

Tietovarasto (palvelin, tietokanta)

Palvelinympäristön tietoturvallisuus

Päätelaiteympäristön tietoturvallisuus

Tietoliikenneverkon tarjoama tietoturvallisuus

Fyysinen turvallisuus

KäyttöoikeudetKäyttäjän tunnistaminenTietojen salaaminenTietojen varmistaminenKoventaminenHaittaohjelmatorjuntaTietoturvapäivityksetLokien hallintaPalomuuri IDS/IPS -järjestelmätYhdyskäytäväratkaisut

Toimitilojen fyysinen suojausPalvelintilojen olosuhde -valvonta (sähkö, lämpö, kosteus, rikosvalvonta)KulunvalvontaTilojen lukituksetKassakaapit

Kuva 4. Tietoaineiston käyttäjällä on erittäin tärkeä rooli tietoturvallisuuden toteutumisessa. Organisaation kannalta kustannustehokkain tapa kehit tää t ietotur vall isuut ta on henkilöstön tietoturvatietoisuuden ja osaamisen kehittäminen.

Tietoaineiston käyttäjä (loppukäyttäjä)tai pääkäyttäjä

Käyttöoikeuksien hallintaprosessi

Henkilöstön koulutus

Henkilöstöturvallisuus

151.1 Sanasto

Etäkäyttö ja etätyö

Etäkäytöllä tarkoitetaan tässä ohjekokonaisuudessa organisaation toimitilojen ulkopuo-lelta tapahtuvaa satunnaista tietojärjestelmien ja palveluiden käyttöä. Tyypillistä etäkäyt-töä edustaa sähköpostin ja kalenterin sekä organisaation intranetin / työryhmäpalvelui-den hyödyntäminen organisaation tarjoamalla kannettavalla tai älypuhelimella. Etätyö poikkeaa etäkäytöstä siinä, että etätyö on myös luvanvaraista, mutta pohjautuu normaa-listi tiettyyn, ennakolta sovittuun työmäärään ja työtehtävään, joka tyypillisesti tehdään kotoa. Teknisesti etätyö ja etäkäyttö voidaan toteuttaa samanlaisille teknisillä ratkaisuilla, lisähaastetta etätyössä tulee mahdollisesti kotona säilytettävien tietoaineistojen säilyttä-misen ja käsittelyn osalta.

Päätelaite

Tässä ohjekokonaisuudessa päätelaite kattaa kaikki tietotekniset laitteet, joilla palveluita ja tietojärjestelmiä käytetään, esimerkiksi pöytäkone, kannettava tietokone, älypuhelin, tabletit, thin client-päätteet sekä muut vastaavanlaiset tietokonemaisesti toimivat laitteet.

Suojattava kohde

Suojattavalla kohteella tarkoitetaan tässä ohjeessa sitä kokonaisuutta, jonka organisaatio luokittelee tietoturvallisuusasetuksen ja VAHTI 2/2010 -ohjeistuksen mukaisesti jollekin tietoturvatasolle. Suojattava kohde voi olla esimerkiksi tietojärjestelmä, prosessi, fyysinen tila, yksittäinen asiakirja tai työasema, joka on merkityksellinen organisaation toimin-nan kannalta.

Suojaustaso

Katso kohta 2.3.

Tietoaineisto

Mikä tahansa tieto missä tahansa olomuodossa (esimerkiksi teksti, kuva, ääni) muodostaa tietoaineiston. Synonyyminä käytetään usein termiä asiakirja. Viranomaisen asiakirjalla tarkoitetaan julkisuuslain 5 § 2 momentin mukaisesti

”Viranomaisen asiakirjalla tarkoitetaan viranomaisen hallussa olevaa asiakirjaa, jonka viranomainen tai sen palveluksessa oleva on laatinut taikka joka on toimitettu viranomai-selle asian käsittelyä varten tai muuten sen toimialaan tai tehtäviin kuuluvassa asiassa. Viranomaisen laatimana pidetään myös asiakirjaa, joka on laadittu viranomaisen anta-man toimeksiannon johdosta, ja viranomaiselle toimitettuna asiakirjana asiakirjaa, joka on annettu viranomaisen toimeksiannosta tai muuten sen lukuun toimivalle toimeksian-totehtävän suorittamista varten.”

16Tietojenkäsittely-ympäristö

Tietojenkäsittely-ympäristö tarkoittaa tässä ohjeessa organisaation ICT-palveluiden kautta käyttöönsä hankkimaa kokonaisuutta, jonka avulla se tuottaa tarvitsemansa perustieto-tekniikkaan ja ydintietojärjestelmiin liittyvät kokonaisuudet. Samassa tietojenkäsittely-ympäristössä on mahdollista toteuttaa sekä perus- että korotetun tason täyttävät tekniset vaatimukset, mutta tuotettaessa eri tietoturvatasoille sijoitettuja palveluita kohde täytyy pystyä selkeästi rajaamaan ja tarvittaessa auditoinnilla osoittamaan edellytetyn tietotur-vatason täyttyminen.

Organisaatio voi vastata kokonaan tai osittain kokonaisuuden tuottamisesta itse tai se voi hankkia tarvitsemiaan ICT-palveluita osittain tai kokonaan ulkoistettuna. Ulkoista-minen ei poista organisaation vastuuta huolehtia kokonaisuuden tietoturvavaatimusten täyttämisestä.

Tietoturvataso

Tietoturva-asetuksessa esitelty ja asetuksen täytäntöönpanoa VAHTI 2/2010 -ohjeessa määritetty taso, jonka organisaation tulee täyttää suojattavan kohteen sekä hallinnollisen että teknisen tietoturvallisuuden osalta.

Turvallisuusluokiteltava asiakirja (tietoaineisto)

Katso kohta 2.3.

Tärkeysluokka

Tärkeysluokalla, jossain yhteydessä käytetään myös termiä tärkeys- tai kriittisyysjärjestys, tarkoitetaan tässä ohjeessa ICT-järjestelmän tai muun suojattavan kohteen tärkeyttä orga-nisaatiolle, sen asiakkaille ja sidosryhmille tai koko yhteiskunnalle.

Suojattavan kohteen tuottamisessa ja tietoturvavaatimuksissa käytettävät ratkaisut riip-puvat tärkeysjärjestyksestä, koska siinä määritellään myös tärkeysluokan ohella edellytet-tävä tietoturva- ja ICT-varautumisen taso.

Erityisesti turvallisuusluokitellun tiedon suojaamisessa korostuu tiedon luottamuk-sellisuuden säilyttäminen, ja luottamuksellisuuden suojaamiselle asetettavat vaatimukset riippuvat tyypillisesti suoraan tiedon suojaustasosta. Tuleekin huomioida, että vaikka jär-jestelmän tärkeysluokka olisi järjestelmään kohdistuvista käytettävyysvaatimuksista joh-tuen korkeampi kuin järjestelmässä käsiteltävän tiedon suojaustasoluokka, edellytettävät luottamuksellisuuteen kohdistuvat suojausmenetelmät eivät tyypillisesti ole tiedon suo-jaustasoluokkaa korkeampia. Poikkeuksena ovat tilanteet, joissa tiedon kasautumisvai-kutus nostaa järjestelmän suojaustasoluokkaa. Kasautumisvaikutuksen seurauksia tiedon suojaamistarpeelle on kuvattu yksityiskohtaisemmin Kansallisessa turvallisuusauditoin-tikriteeristössä (KATAKRI, ks. erityisesti I 401.0).

17Kuva 5. Pienen organisaation tietojenkäsittely-ympäristö saattaa koostua muutamasta ICT-palvelusta, jotka sisältävät vähintään yhtä monta, mutta usein useampia tietojärjestelmiä. Käyttäjän näkemä sähköpostipalvelu sisältää myös kalenterin, joten yksi palvelu sisältää kaksi tietojärjestelmää, sähköpostijärjestelmän ja kalenterijärjestelmän. Asiakastietoja sisältävä järjestelmä on erillinen palvelu. Näiden ohella tarvitaan erillisiä infrastruktuuri- tai muita tukipalveluita, jotka mahdollistavan palveluiden tuottamisen.

1.2 Rajaukset

Tässä ohjeessa keskitytään ensisijaisesti niihin teknisiin ratkaisuihin, joita tarvitaan kan-sallisten suojaustasojen ST IV, ST III ja ST II -tietoaineistojen käsittelyssä sekä vastaavasti perus-, korotetun ja korkean tietoturvatason tietojenkäsittely-ympäristön toteuttamisessa.

Käsiteltäessä kansainvälistä turvallisuusluokiteltua tietoaineistoa, suojattavalle kohteelle edellytetään tyypillisesti viestintäviraston suorittamaa tarkastusta (auditointia) ja hyväk-syntää (akkreditointia) Kansallista turvallisuusauditointikriteeristöä (KATAKRI) vastaan.

Kansainvälisen turvallisuusluokittelun tietoaineiston osalta KATAKRIa sovelletaan suoraan kahdenvälisten kansainvälisten sopimusten piiriin kuuluviin tietoaineistoihin. KATAKRI:a sovelletaan erityisesti tarkentavana kriteeristönä myös muiden kansainvälis-ten turvallisuussopimusten (esim. EU:n turvallisuusregiimi) piiriin kuuluviin tietoaineis-toihin. KATAKRI:n vaatimustasoja määritettäessä on pyritty huomioimaan keskeisimmät kansainväliset vaatimukset siten, että kotimainen säädöspohja on viime kädessä määräävä tekijä. KATAKRI:ssa kuvatut suojausvaatimukset kattavatkin siten kaikki yleisimmät kan-sainvälisen ja kansallisen turvallisuusluokitellun tiedon suojausvaatimuksista.

Kansallisten verkkojen tietoliikenteen osalta Sisäverkko-ohjeesta (VAHTI 3/2010) löy-tyy määritykset perus-, korotetun ja korkean tason vaatimuksiksi.

1 tietojenkäsittely-ympäristö

2 ICT-palvelua ja3 tietojärjestelmää

Useita suojattavia kohteita

Viestintäratkaisu ICT-palvelu:Sähköposti- ja kalenteri-tietojärjestelmät

Asiakashallinta-palvelu

Tarvittavatinfrastruktuuri-palvelut

INTERNET-YHTEYS

181.3 Lukuohje

Ohje perustuu VAHTI-ohjeeseen 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta, johon tulee tutustua ennen tämän ohjeen luke-mista.

Ennen syvempää lukemista suosittelemme tutustumaan ohjeeseen pintapuolisesti tut-kimalla sen kuvitusta sekä luvussa viisi esiteltyjä työvälineitä. Tätä ohjetta hyödynnetään valtiovarainministeriön tuottamissa, Valtiokonttorin Valtion IT-palvelukeskuksen vuosina 2011 - 2013 toteuttamissa tietoturvallisuusasetuksen täytäntöönpanoa tukevissa yhteishank-keissa. Yhteishankkeissa laadittavat asiakirjat, ohjeet ja muu materiaali tarjotaan valtion-hallinnon organisaatioiden käyttöön Valtion IT-palvelukeskuksen työkalupakista vaikka organisaatio ei osallistuisikaan yhteishankkeisiin.

Ohjeessa käsitellään seuraavia asioita:

Luku 2 Keskeiset vaatimukset ICT-ympäristön tietoturvallisuuden toteuttamiseksi – mitkä ovat keskeiset vaatimukset, jotka organisaation tulee ottaa huomioon

kehittäessään tietoturvallisuuden hallintajärjestelmääLuku 3 Suojattavien kohteiden määritteleminen

– miten suojattavat kohteet määritellään ja kuinka ne pitää rajataLuku 4 Vaatimukset tekniselle tietotekniikkaympäristölle

– työasemissa ja päätelaitteissa huomioitavia vaatimuksia – palvelimissa ja palveluiden tuotantomallissa huomioitavia vaatimuksia

Luku 5 Työkalut ja muut ohjeen käyttöönottoa tukevat apuvälineet – lyhyt kuvaus ohjeen mukana seuraavista työkaluista

19

2 Keskeiset vaatimukset ICT-ympäristön tietoturvallisuuden toteuttamiseksi

Valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010) sääde-tään valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietotur-vallisuusvelvoitteista sekä asiakirjojen luokittelun perusteista ja luokiteltujen asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista. ”VAHTI 2/2010 Ohje tietotur-vallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta” -ohje kuvaa yksi-tyiskohtaisemmin vaatimuksia hyvän tiedonhallintatavan mukaisten toimintaedellytys-ten toteuttamiseksi organisaatiossa. Myös valtioneuvoston periaatepäätöksessä valtion tie-toturvallisuuden kehittämisestä (26.11.2009) velvoitetaan valtionhallinnon organisaatioita kehittämään tietoturvatoimintaansa laaja-alaisesti ja huolehtimaan tietoturvallisuudesta kaikessa yhteistyössä palveluiden tuottajien ja muiden sidosryhmien kanssa.

Valtioneuvoston periaatepäätöksessä yhteiskunnan turvallisuusstrategiasta (YTS, 16.12.2010) korostetaan sitä, että turvallisuudesta huolehtiminen on valtiovallan keskei-simpiä tehtäviä ja vaaditaan, että valtiohallinnon toimintakykyä pitää pystyä kehittämään myös normaaliolojen häiriötilanteissa. Tätä voidaan edesauttaa toteuttamalla sellaisia ICT-palveluita, jotka täyttävät jatkuvuuden hallinnalle ja tiedon turvaamiselle ohjeessa ICT-varautumisen vaatimukset, VAHTI 2/2012 -ohjeessa asetetut vaatimukset.

2.1 Tietoturvallisuusasetuksen vaatimukset tietoturvallisuudelle

Tietoturvallisuusasetuksessa on määritetty kymmenen perustason vaatimusta (5 § Tieto-turvallisuuden perustason toteuttaminen). Alla on lueteltu nämä vaatimukset ja kuvattu kunkin vaatimuksen osalta ne menettelyt ja välineet, joiden avulla viranomainen voi kyseisen vaatimuksen toteuttaa. Lisää ohjeistusta välineiden ja VAHTI-ohjeiden hyödyn-tämisestä löytyy ohjeesta ”VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta”.

Tietoturvallisuuden toteuttamiseksi valtionhallinnon viranomaisen on huolehdittava siitä, että:

201) viranomaisen toimintaan liittyvät tietoturvallisuusriskit kartoitetaan;

Tietoturvallisuus tulee nähdä toiminnan laatua parantavana tekijänä, johon keskeisesti liittyy riskienhallinta. Tällä tavalla toimimalla huolehditaan siitä, että tietoturvallisuuteen tehtävät taloudelliset ja muut investoinnit kohdistuvat tarkoituksenmukaisiin kohteisiin.

Menetelmä tai väline: organisaation oma riskienhallintaprosessi ja -väline tai Valtion IT-palvelukeskuksen tietoturvapalveluiden tuottama prosessiohje ja Excel-työväline. Ris-kienarviointi tulee sisällyttää organisaation toiminnan ja tavoitteiden kannalta tärkei-siin prosesseihin. Organisaation johdon tulee hyväksyä riskienkäsittelyn tulokset myös ns. jäännösriskin osalta ja vastuuttaa riskienhallintatoimet. Organisaation tulee selvittää oma riskinkantokykynsä. Sovittujen toimenpiteiden toteutusta ja aikataulua tulee valvoa. Lisätietoa ohjeesta VAHTI 3/2003 ”Ohje riskien arvioinnista tietoturvallisuuden edistä-miseksi valtionhallinnossa”.

2) viranomaisen käytössä on riittävä asiantuntemus tietoturvallisuuden varmistami-seksi ja että tietoturvallisuuden hoitamista koskevat tehtävät ja vastuu määritellään;Tietoturvallisuuden hoitaminen on osa viranomaisen toiminnan laatua. Vastuu tieto-

turvallisuudesta on organisaation johdolla, mutta sitä ei voi hoitaa ilman vastuuhenkilöitä ja resursseja.

Menetelmä tai väline: riittävä henkilöresursointi ja henkilöiden kattavat tehtäväku-vaukset sekä organisaation johdon hyväksymä tietoturvapolitiikka. Tietoturvavastaavan nimeäminen ja eri toimijoiden vastuiden määrittäminen. Lisää johtamisesta ja vastuista ohjeessa ”Tietoturvallisuudella tuloksia, Yleisohje tietoturvallisuuden johtamiseen ja hal-lintaan, VAHTI 3/2007”.

3) asiakirjojen käsittelyä koskevat tehtävät ja vastuut määritellään;Viranomaisten toiminnan kannalta asiakirjojen käsittelyä koskevat tehtävät ja vastuut

ovat erittäin keskeisiä. Lainsäädäntö velvoittaa viranomaisia pitämään luetteloa käsiteltä-vänä olevista asioista sekä määrittelemään asiakirjojen säilytysajat ja -tavat sekä ylläpitä-mään niistä arkistonmuodostussuunnitelmaa.

Menetelmä tai väline: asiakirjahallinnon, diaarin ja tiedonohjaussuunnitelman mää-rittely, organisaation johdon tekemä päätös tietoaineistojen luokittelemiseksi tietoturval-lisuusasetuksen (681/2010) mukaisesti, henkilöiden tehtäväkuvaukset sekä organisaation tietoaineistojen käsittelyä koskeva käsittelyohje, joka huomioi tietoturvallisuusasetuksessa ja VAHTI 2/2010 -ohjeessa olevat vaatimukset. Valtion IT-palvelukeskuksen tietoturvapal-veluiden tuottamaa sähköistä koulutusta voidaan käyttää henkilöstön perehdyttämiseen ja tietoaineistojen käsittelyä koskevaa ohjemallia voidaan hyödyntää laadittaessa organi-saation omaa ohjetta.

4) tietojen saanti ja käytettävyys eri tilanteissa turvataan ja luodaan menettelytavat poikkeuksellisten tilanteiden selvittämiseksi;Tietoaineistojen käsittelyssä tulee aina muistaa, että tietoturvallisuus koostuu luotta-

muksellisuudesta, eheydestä ja saatavuudesta. Jotta nämä osa-alueet voidaan turvata, edel-lyttää se käsiteltävien tietoaineistojen tärkeyden tunnistamista. Häiriötilanteisiin tulee

21varautua tärkeiden toimintojen jatkuvuussuunnittelun sekä tietojärjestelmien toipumis-suunnittelun avulla.

Menetelmä tai väline: suojattavat kohteet ja niihin liittyvät tietojärjestelmät ja palve-lut / prosessit tärkeysluokitellaan sekä toteutetaan ne suojattavan kohteen edellyttämälle tietoturva- ja ICT-varautumisen tasolle käyttäen hyväksi ohjeita ”Ohje tietoturvallisuu-desta valtionhallinnossa annetun asetuksen täytäntöönpanosta, VAHTI 2/2010” sekä ”ICT-varautumisen vaatimukset, VAHTI 2/2012”. Normaaliolojen häiriötilanteiden varalle laa-ditaan tarvittavat ohjeet (jatkuvuus- ja toipumissuunnitelmat koko organisaatiolle ja tär-keysjärjestyksen mukaisille tärkeimmille toiminnoille). Vakavien häiriötilanteiden varalle laaditaan kriisinhallinta- ja kriisiviestintäsuunnitelma. Laaditaan valmiussuunnitelmat ja huoltovarmuuskriittiset organisaatiot laativat lisäksi tarvittavat toimintamallit Yhteiskun-nan elintärkeiden toimintojen turvaamiseksi poikkeusoloissa. Valtion IT-palvelukeskuk-sen tietoturvapalveluiden tuottamia jatkuvuus-, valmius- ja toipumissuunnitelmien asia-kirjamalleja voidaan käyttää pohjana, mikäli organisaatiolla on tarvetta laatia tai päivittää omia suunnitelmiaan.

5) asiakirjojen ja niihin sisältyvien tietojen salassapito ja muu suoja varmistetaan anta-malla pääsy asiakirjoihin vain niille, jotka tarvitsevat salassa pidettäviä tietoja tai henkilörekisteriin talletettuja henkilötietoja työtehtäviensä hoitamiseksi;Mitä kriittisemmistä salassa pidettävistä tietoaineistoista on kyse, sitä tärkeämpiä ovat

tietoaineistojen luottamuksellisuuden turvaamiseen liittyvät hallinnolliset prosessit ja fyy-siset sekä tietotekniset suojausratkaisut. Luokiteltuja tietoaineistoja tulee käsitellä ohjeessa ”VAHTI 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytän-töönpanosta” kuvattujen käsittelyvaatimusten mukaisesti.

Mikäli tietoaineisto turvallisuusluokitellaan tietoturvallisuusasetuksen 11 § mukaisesti, käsittelyssä noudatetaan minimissään vastaavalle suojaustasolle asetettuja vaatimuksia. Käsittelyssä on aina kuitenkin huomioitava myös ne kansainväliset velvoitteet, joihin käsit-tely perustuu (esim. EU- ja Nato-aineistot sekä kahdenväliset sopimukset).

Mikäli tietoaineistot luokitellaan lain kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) mukaisesti, tulee niiden käsittelyssä noudattaa Suomen ja sopimuskumppanin välisen sopimuksen linjauksia. Kansallinen turvallisuusauditointikriteeristö (KATAKRI) on laadittu siten, että sitä noudatettaessa kaikki yleisimmät kansainväliset velvoitteet täyttyvät.

Sekä kansallisen että kansainvälisen turvallisuusluokitellun tietoaineiston käsittelyssä on huomioitava, että suojausvaatimukset koskevat kaikkia tiedonkäsittely-ympäristöjä, joissa turvallisuusluokiteltua tietoa käsitellään. Vaatimukset tuleekin huomioida sekä kaik-kien organisaation omien ko. tietoa käsittelevien järjestelmien että ulkoistettujen palvelu-jen osalta.

Menetelmä tai väline: organisaation tietoaineistojen käsittely ohjeistetaan sen antamassa tietoaineistojen käsittelyohjeessa. Tietojärjestelmiä käyttävien roolien käyttöoikeudet tulee suunnitella joko kohteittain tai käyttäen keskitettyä käyttövaltuushallintaa (Identity and Access Management, IAM). Eri rooleissa toimivat henkilöt pitää pystyä listaamaan rooleit-tain ja tietojärjestelmittäin. Esimiehen tulee kehittämiskeskustelussa käydä läpi keskeiset työtehtävät ja niissä tarvittavat käyttäjäroolit sekä käsiteltävien tietoaineistojen luokittelu.

22Organisaation tulee ottaa hankinnoissaan huomioon tietoaineistojen käsittelyltä edelly-tettävät vaatimukset sekä huomioida ne sopimuksissa. Lisätietoa löytyy ohjeesta ”Valtion ICT-hankintojen tietoturvaohje, VAHTI 3/2011” ja sen liitteistä. sekä ohjeesta ”Tunnista-minen julkishallinnon verkkopalveluissa, VAHTI 12/2006”.

6) tietojen luvaton muuttaminen ja muu luvaton tai asiaton käsittely estetään käyttöoi-keushallinnan, käytön valvonnan sekä tietoverkkojen, tietojärjestelmien ja tietopalve-lujen asianmukaisilla ja riittävillä turvallisuusjärjestelyillä ja muilla toimenpiteillä;Turvallisuusjärjestelyt kohdistetaan kaikkiin organisaation omistamiin ja hallinnoi-

miin tietojenkäsittely-ympäristöihin ja tietojärjestelmiin, ja ne ovat sitä vahvempia mitä kriittisempää tietoa niissä käsitellään. Tässä ohjeessa kuvataan niitä teknisiä ratkaisuja, joiden avulla organisaatio voi toteuttaa siltä edellytetyt riittävät turvallisuusjärjestelyt ja muut toimenpiteet.

Menetelmä tai väline: kuten kohdassa viisi. Sen lisäksi tietojärjestelmien pitää tuottaa sellaista lokitietoa, josta niiden käyttöä voidaan tarvittaessa selvittää ja valvoa. Yksittäis-ten järjestelmien loki voi olla järjestelmäkohtainen, mutta laajemmissa kokonaisuuksissa pitäisi saada käyttöön keskitetty lokien ja tapahtumien hallintapalvelu (Security Informa-tion and Event Management, SIEM). Muita suositeltavia toimenpiteitä ovat organisaation itse suorittamat tai kolmansilta osapuolilta hankittavat katselmoinnit ja auditoinnit. Lisä-tietoa ohjeesta ”Käyttövaltuushallinnon periaatteet ja hyvät käytännöt, VAHTI 9/2006”.

7) asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja;Tietoturvallisuus on laaja-alainen kokonaisuus, jossa ei pidä unohtaa käsittely-ympä-

ristöön ja muuhun fyysiseen tietoturvallisuuteen liittyviä seikkoja. Etätyön ja -käytön yleistyessä vaatimukset tietoaineistojen käsittelyyn ajasta ja paikasta riippumatta kasva-vat, joka asettaa myös käytettäville tietojärjestelmille ja teknisille ratkaisuille uudenlaisia vaatimuksia.

Menetelmä tai väline: organisaatio täyttää sen toiminnalle asetetun turvaluokituksen mukaiset tilaturvallisuuden vaatimukset ja VAHTI 2/2010 -ohjeen vaatimukset. VAHTI on laatimassa uutta toimitilaturvallisuutta koskevaa ohjetta, joka julkaistaan vuonna 2013. Tämän ohjeen liitteessä 1 on yksityiskohtaisempia vaatimuksia fyysisen turvallisuuden toteuttamiseksi. Nämä tulee ottaa huomioon myös palveluita ostettaessa; myös palvelua tuottavan toimittajan ja toimittajan mahdollisten alihankkijoiden tulee täyttää asetetut vaatimukset. Organisaatio luo etätyötä koskevan ohjeistuksen, jolla varmistetaan etätyö-paikassa säilytettävän tietoaineiston tietoturvallisuus. Ohjeen laatimisessa voidaan hyö-dyntää ohjetta ”Valtionhallinnon etätyön tietoturvallisuusohje, VAHTI 3/2002” sekä tämän ohjeen liitteessä 7 kuvattuja etätyön teknisiä vaatimuksia.

8) henkilöstön ja muiden asiakirjojen käsittelyyn liittyviä tehtäviä hoitavien luotetta-vuus varmistetaan tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perus-teella käytettävissä olevien keinojen avulla;Tämä vaatimus koskee organisaation omaa henkilöstöä, mutta vähintään yhtä tärkeää

on huolehtia palveluita organisaation toimeksiannosta tuottavan toimittajan henkilöstön luotettavuudesta.

23Menetelmä tai väline: organisaatiossa on kuvattu periaatteet sekä prosessi, jonka

mukaan päätetään mistä rooleista, millä perusteella ja milloin tehdään suppea, perus-muotoinen tai laaja turvallisuusselvitys Turvallisuusselvityslain mukaisesti. Prosessin tulee kattaa organisaation oma henkilöstö, palveluita organisaatiolle tuottavat toimittajat sekä muut sidosryhmät.

9) henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville annetaan ohjeet ja koulutusta asiakirjojen ja niihin sisältyvien tietojen asianmukaisesta käsit-telystä;Jokainen uusi tietoturvallisuuteen liittyvä prosessi, työväline tai muu toimintamalli

edellyttää tiedottamista, koulutusta ja seurantaa sekä mahdollisesti uudenlaista dokumen-tointia ja raportointia. Tietoturva-asetuksen täytäntöönpanoon liittyy keskeisesti tieto-turvatasovaatimusten saavuttaminen, joka aiheuttaa useissa organisaatioissa merkittävän uusien toimintatapojen jalkauttamistarpeen.

Menetelmä tai väline: Organisaation tulee toteuttaa säännöllistä tietoturvakoulutusta. Koulutusten toteuttamisessa voi hyödyntää ohjeita ”Tietoturvakouluttajan opas, VAHTI 11/2006” sekä ”Henkilöstön tietoturvaohje, VAHTI 10/2006”. Valtion IT-palvelukeskuksen tietoturvapalvelut tarjoavat VAHTI-ohjeiden pohjalta laadittuja maksuttomia sähköisiä koulutuskokonaisuuksia henkilöstölle, johdolle ja esimiehille sekä tietoaineistojen käsitte-lijöille. Koulutukseen liittyy olennaisena osana omaksumista mittaava kysely.

10) annettujen ohjeiden noudattamista valvotaan ja niiden muutostarpeita arvioidaan säännöllisesti.On tilanteita, joissa jokin uusi toimintamalli laaditaan sen takia, koska sitä edellyte-

tään ilman että organisaatiolla on aidosti halua tai motivaatiota ottaa sitä käyttöön. Tieto-turvatasojen toteuttamisessa ei saa tapahtua näin. Kun organisaatio tai palvelu saavuttaa perus-, korotetun- tai korkean tietoturvatason, se ei voi säilyttää saavutettua tasoa ellei käyttöönotettuja prosesseja ja toimintamalleja liitetä organisaation / palvelun toimintaan siten, että tietoturvallisuus koetaan osana toimintaprosessia eikä erillisenä vaatimuksena. Tietoturvallisuuden tulee integroitua osaksi organisaation toimintakulttuuria ja se tulee nähdä toiminnan laatua ja suorituskykyä parantavana tekijänä.

Menetelmä tai väline: organisaation johdolla ja esimiehillä on tärkeä rooli toimia esi-kuvana ohjeiden noudattamisessa. Organisaatiossa tulee olla prosessi havaittujen poik-keamien raportoimiseen sekä niihin puuttumiseen. On suositeltavaa laatia organisaatio-/palvelukohtainen tietoturvallisuuden vuosikello, jonka mukaan huolehditaan prosessien, ohjeiden, sopimusten ja muiden asiakirjojen säännöllisestä katselmoinnista ja päivittä-misestä sekä tarvittavista auditoinneista. Lisätietoa ohjeesta ”Tietoturvallisuus on asenne VAHTI 6/2008”.

242.1.1 Tietoturvallisuusasetuksen vaatimusten toteuttaminen organisaatiossa

Tietoturvatasojen vaatimukset kohdistuvat organisaation toimintamalleihin, prosesseihin ja menettelyihin sekä tietojärjestelmien hallintaprosesseihin. Vaatimusten toteuttamista ei kannata tehdä vaatimus kerrallaan vaan ottaa niiden toteuttamisessa kokonaisvaltainen lähestymistapa. Suositeltavaa on toteuttaa tietoturvallisuuden hallintajärjestelmä, jonka avulla tietoturvallisuus saadaan integroitua organisaation muuhun toimintaan. Hallin-tajärjestelmän ja siihen liittyvän vuosikellon avulla myös säännöllisesti toistuvat tehtävät saadaan ajoitettua. Tietoturvatasovaatimusten mukaan toteutettu hallintajärjestelmä on yhteensopiva ISO/IEC27001 -standardin mukaisen hallintajärjestelmän kanssa ja mah-dollistaa organisaation tietoturvallisuuden sertifioinnin, jos se on tarkoituksenmukaista ja organisaation tavoitteena.

Valtionhallinnossa edellä kuvattuja vaatimuksia on toteutettu valtiovarainministeriön käynnistämissä Tietoturvallisuusasetuksen täytäntöönpanon yhteishankkeissa. Hankkei-siin osallistuu lähes 60 valtionhallinnon organisaatiota, jotka saavat hankkeen työpajoissa konkreettisia ohjeita, malleja ja kokemuksia hallintajärjestelmän ja toimintamallien toteut-tamiseen. Hankkeiden toteuttamisessa käytetään apuna Valtion IT-palvelukeskuksessa laa-dittua Projektiopasta, joka on saatavilla VIPin työkalupakista.

Hankkeissa on todettu, että tietoturvallisuuden hallintajärjestelmän ja tietoturvataso-vaatimusten toteuttaminen onnistuu ainoastaan jos niiden toteuttamiseen on johdon tuki, joka näkyy johdon puheissa, toiminnassa ja tietoturvatyöhön kohdistetuissa resursseissa. Tietoturvatyö vaatii koko henkilöstön sitoutumista, joten se ei onnistu jos tietoturvavastaava ei saa muun organisaation tukea ja työpanosta vaadittujen toimintamallien toteuttamiseen.

2.2 Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä

Valtioneuvoston periaatepäätöksessä 26.11.2009 todetaan, että päätös koskee kaikkia hal-linnon palveluita, toimintoja, prosesseja, tietojärjestelmiä ja -verkkoja kattaen tiedon koko elinkaaren. Periaatepäätös koskee valtion budjettitalouden piirissä olevia organisaatioita ja liikelaitoksia sekä näiden ulkopuolisilta tahoilta hankkimia tai perustamiinsa osake-yhtiöihin ulkoistamia toimintoja, prosesseja tai palveluja. Periaatepäätöstä noudatetaan myös valtionhallinnon ja muiden organisaatioiden (kuten kunnat, yritykset ja yhteisöt) välisessä toiminnallisessa, tiedon hallinnan ja varautumisen sekä kansainvälisessä yhteis-työssä. Edellinen tarkoittaa sitä, että tietoturvallisuus tulee ottaa huomioon sekä valtion-hallinnon organisaation omassa toiminnassa että ostettaessa palveluita. Samoin se tulee ottaa huomioon valtionhallinnon ja muiden organisaatioiden yhteistyössä tietoaineistoa välitettäessä organisaatioiden välillä.

Periaatepäätöksen luvussa 3 Kehittämisperiaatteet, -kohteet ja painopisteet todetaan:

25Tiedon ja sen arvon suojaaminen:

Organisaatiot parantavat tietoaineistojen, - järjestelmien ja -verkkojen turvallisuutta sekä kehittävät valtion ympärivuorokautista tietoturvatoimintakykyä. Organisaatiot toimivat valtion yhteisten varautumislinjausten, tietoaineistojen suojaustasojen ja tietoturvatasojen vaatimusten mukaisesti sekä ottavat käyttöön näitä tukevat tietotekniset ratkaisut.

2.3 Tietoaineistojen käsittely ja luokittelu

Tietoturvallisuuden tärkein tavoite on tukea organisaation toimintaa ja tavoitteiden saa-vuttamista huolehtimalla tietoaineistojen luottamuksellisuudesta, eheydestä ja saatavuu-desta. Tämä on mahdollista ainoastaan ottamalla tietoturvallisuus huomioon tiedon elin-kaaren kaikissa vaiheissa.

Tietoaineistot tulee luokitella niiden tietosisällön mukaan. Tietoturvallisuusasetus ja VAHTI 2/2010 määrittelevät yksityiskohtaisella tasolla tietoaineistojen käsittelylle ase-tetut velvoitteet. Salassa pidettävän, harkinnanvaraisesti julkisen sekä käyttörajoitteisen tietoaineiston käsittelyä ohjataan suojaustasojen avulla tietoturvallisuusasetuksen 9 §:ssä osoitetulla tavalla.

Suojaustasot ovat: – suojaustaso I (ST I), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aihe-

uttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle – suojaustaso II (ST II), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aihe-

uttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle – suojaustaso III (ST III), jos salassa pidettävän tiedon oikeudeton paljastuminen voi

aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle – suojaustaso IV (ST IV), jos salassa pidettävän tiedon oikeudeton paljastuminen voi

aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleiselle tai yksityiselle edulle tai, jos kysymys on tietoturvallisuusasetuksen 9 §:n 2 momentissa tarkoitetuista asia-kirjoista, jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityi-selle edulle tai heikentää viranomaisen toimintaedellytyksiä.

Osaan salassa pidettävistä asiakirjoista voidaan tehdä turvallisuusluokittelua koskeva merkintä tietoturvallisuusasetuksen 11 §:ssä säädetyin edellytyksin. Turvallisuusluokitus-merkintää on sallittua käyttää vain niissä tietoaineistoissa, joissa olevien tietojen oikeu-deton paljastuminen tai käyttö voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muille yleisille eduille siten kuin tietoturval-lisuusasetuksessa säädetään.

Tietoaineistojen luokittelua on käsitelty yksityiskohtaisesti VAHTI 2/2010-ohjeen luvussa 7 Tietoaineistojen luokittelu.

26Kuva 6. Tässä ohjeessa keskitytään kuvamaan niitä teknisiä ratkaisuja, joita tarvitaan luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi sekä julkisten että salassa pidettävien tietoaineistojen käsittelyssä. Julkisen tietoaineiston käsittelyn osalta valtionhallinnossa on useita merkittäviä järjestelmiä, joissa järjestelmiltä edellytetään korkeaa palvelutasoa ja ICT-varautumiskykyä.

Tietoaineisto

Julkinen

Erityisesti eheys ja saatavuus otettava

huomioon julkisessa tietoaineistossa

Salassa pidettävä, viranomaisharkinta,

käyttötarkoitussidon-nainen tietoaineisto

Luottamuksellisuus, eheysja saatavuus -tärkeys vaihtelee riippuen

tietoaineiston sisällöstä

Kuva 7. Muu kuin julkinen tietoaineisto voidaan merkitä suojaustaso- tai turvallisuusluokitus-merkinnällä riippuen siitä, millaista tietoa se sisältää ja millaista vahinkoa tietojen oikeudeton paljastuminen tai käyttö voivat aiheuttaa. Mikäli käsitellään kansainvälistä turvallisuusluokiteltua tietoa, niin siihen kohdistuu tällöin kansallisia, suojaustasomerkinnöillä varustettuja tietoaineistoja tiukempia käsittelyvaatimuksia erityisesti tiedon luottamuksellisuuden suojaamiseksi.

Viranomaisen asiakirjojen luokittelu

Salassa pidettävä,viranomaisharkinta,

käyttötarkoitus-sidonnainentietoaineisto

TiTuA 681/2010, 9 §JulkL 621/1999 24.1 §

3-6, 11-32 KHetiL 523/1999 11 §

Muu lainsäädäntö

TiTuA 681/2010, 11 §JulkL 621/1999 24.1 §

2, 7-10 KKansVälTiTuL 588/2004, 8 §

Suojaustasomerkintä STIV, ST III, ST II tai ST I

Turvallisuusluokitusmer-kintä KÄYTTÖ RAJOITETTU,

LUOTTAMUKSELLINEN,SALAINEN tai ERITTÄIN

SALAINEN

Yleisimmät kansalliselle ja kansainväliselle turvallisuusluokitellulle aineistolle asetetta-vat auditointikriteerit on kuvattu Kansallisessa turvallisuusauditointikriteeristössä (KATA-KRI). Tässä ohjeessa kansainvälisellä turvallisuusluokitellulla tietoaineistolla tarkoitetaan kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004) tarkoitettua eri-tyissuojattavaa tietoaineistoa, johon tietoaineiston Suomeen toimittanut sopimuspuoli on tehnyt turvallisuusluokitusta koskevan merkinnän tai johon Suomen viranomaisen on kansainvälisen tietoturvallisuusvelvoitteen mukaan tehtävä turvallisuusluokitusmerkintä.

27Kuva 8. Suojaustaso- tai turvallisuusluokitusmerkinnän omaavan tietoaineiston käsittely edellyttää suojattavalta kohteelta aina vähintään siltä vaaditun tietoturvatason täyttämistä. Tässä yhteydessä tulee huomata, että myös edellytettyä korkeampi tietoturvataso voidaan toteuttaa jos sille on muita perusteita (esimerkiksi muut vaatimukset tai Yhteiskunnan turvallisuusstrategia). Tietoturvatasojen vaatimuksissa ei ole kuvattu erityistasoa, joka edellyttää korkean tason sekä suojattavan kohteen erityispiirteistä koostuvia lisäkontrolleja.

Salassa pidettävät tiedot, viranomaisharkinta, käyttötarvesidonnainen

ST IErittäin

salainen

ST IISalainen

ST IIILuottamuksellinen

ST IVKäyttö rajoitettu

Erityistaso

Korkea taso

Korkea taso

Korotettu taso

Perustaso

Suojaustasomerkintä:Turvallisuusluokitusmerkintä:

Julkinen tieto

2.4 Tietoturvatasot VAHTI 2/2010 -ohje sisältää tietoturvatasojen yksityiskohtaiset vaatimukset liitteessä viisi. Ne asettavat organisaatioiden ja niiden tietojenkäsittely-ympäristöjen hallinnalle tietoturvavaatimukset, jotka kuvaavat niitä tietoturvatoimintaan ja -prosesseihin liitty-viä menettelyitä, jotka jokaisessa valtionhallinnon organisaatiossa tulee toteuttaa. Vaa-timusten toteuttamisvelvoitetta ei ole aiemmin sisällytetty lainsäädäntöön, mutta niiden täyttämistä on voitu edellyttää muulla tavoin. Osa vaatimuksista sisältyy jo julkisuuslaissa (621/1999) asetettuihin velvoitteisiin hyvän tiedonhallintatavan toteuttamisesta.

Tietoturvallisuusasetuksen kohdissa 16 § Sähköisen asiakirjan laatiminen, tallettami-nen ja muokkaaminen ja 19 § Asiakirjan siirtäminen tietoverkossa todetaan, että ”tieto-verkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan kor-kean tietoturvallisuustason vaatimukset” sekä ”tietojenkäsittely kokonaisuudessaan täyt-tävät tavanomaisesti sovellettavan korotetun tietoturvallisuustason vaatimukset”. Näillä viittauksilla tarkoitetaan VAHTI 2/2010 -ohjeen liitteessä 5 kuvattuja korotetun ja korkean tietoturvatason vaatimuksia.

28Organisaation tietoturvallisuuden hallinta ja tietojenkäsittely-ympäristöt luokitellaan

kolmeen tietoturvatasoon; perustaso, korotettu taso ja korkea taso. Alin valtionhallinnon viranomaisille sallittu taso on tietoturvallisuuden perustaso. Tämän toteuttavassa ympä-ristössä voidaan käsitellä suojaustason IV edellyttävää tietoaineistoa selväkielisessä muo-dossa toimivaltaa käyttävän viranomaisen päätöksellä. Korotetun tietoturvallisuustason ympäristössä voidaan vastaavasti käsitellä tietoa selväkielisessä muodossa aina suojaus-tasoon III asti ja korkean tietoturvallisuustason täyttävissä ympäristöissä suojaustasoon II ja I asti. Suojaustasoa I sisältävien tietojen selväkielinen käsittely voidaan toteuttaa vain ST I -tason täyttävässä erillisverkko-ympäristöissä, joissa ei ole suoria liitäntöjä alemman tietoturvatason ympäristöihin.

Työasema, joka itsessään täyttää korkeamman tietoturvallisuustason vaatimukset, on mahdollista erilliseen viranomaishyväksyntään perustuen liittää alemman tietoturvalli-suustason ympäristöön. Liittämisen mahdollistavia hyväksyttäviä yhdyskäytäväratkai-suja on käsitelty yksityiskohtaisemmin Kansallisessa turvallisuusauditointikriteeristössä (KATAKRI, ks. erityisesti I 401.0).

Jokaisen valtionhallinnon organisaation tulee täyttää vähintään tietoturvallisuuden perustaso, joka kattaa kokonaisuudessaan viranomaisen salassa pidettävien asiakirjojen käsittelyn. Tietoturvallisuuden perustaso tulee olla toteutettuna koko valtionhallinnossa 30.9.2013 mennessä (Tietoturvallisuusasetus 23 § 3 mom.). Toiminnoissa, joissa edellyte-tään korotetun tai korkean tietoturvallisuustason toimintaympäristöä (toimintaa, tieto-järjestelmiä ja tietoverkkoja) ja joissa käsiteltävät asiakirjat viranomainen on luokitellut, tulee toteuttaa vaatimukset viiden vuoden kuluessa siitä, kun viranomainen on päättänyt luokitella asiakirjansa. Jos luokituspäätös on tehty esimerkiksi 1.12.2011, korotettu taso tulee saavuttaa 1.12.2016 mennessä. Esimerkkinä luokituspäätöksestä toimii organisaation johtoryhmän pöytäkirjan merkintä, jossa on todettu tietoaineistojen luokittelu otettavaksi organisaatiossa käyttöön. Kun luokittelupäätös tehdään, täytyy sen pohjautua tietotur-vallisuusasetukseen. Tämän lisäksi organisaatio itse tai ulkoiset tahot voivat esimerkiksi sopimuksissa edellyttää muiden tietoturvallisuuteen liittyvien vaatimusten täyttymistä tai korotetun / korkean tason saavuttamista aiemmin kuin asetus sitä edellyttää.

Tietoturvatasot koskevat sekä viranomaisen omia menettelyitä että niitä tahoja, jotka suorittavat tehtäviä viranomaisen toimeksiannosta. Valtionhallinnon viranomaisten toi-minnassa tulee lähtökohtana olla, että käsiteltäessä yhteiskunnan elintärkeiden toimintojen kannalta kriittisiä viranomaisen asiakirjoja, käsittelyssä noudatetaan vähintään korotetun tietoturvallisuustason vaatimuksia.

2.5 Kansallinen turvallisuusauditointikriteeristö (KATAKRI)

Kansallinen turvallisuusauditointikriteeristö (KATAKRI) valmistui vuonna 2009 viran-omaisten, elinkeinoelämän ja turvallisuusalan järjestöjen yhteistyönä. Päivitetty versio 2.0 valmistui kevään 2011 aikana.

29KATAKRI on tarkoitettu työvälineeksi niille viranomaisille tai viranomaisten lukuun

toimiville turvallisuustarkastajille (auditoijille), joille on annettu valtuus todentaa arvioi-tavan kohteen turvallisuuden taso erityisesti KATAKRI:n auditointikriteereihin peilaten. KATAKRI ja erityisesti sen suositusosio on tarkoitettu myös perustyökaluksi yritysten omaehtoiselle turvallisuustyölle. On kuitenkin huomattava, että KATAKRIssa kuvatut elinkeinoelämän suositukset eivät ole viranomaisvaatimuksia.

Toimivaltaiset viranomaiset toteuttavat yritysten tai muiden kohteiden turvallisuusta-son tarkastamisen joko valtionhallinnon salassa pidettävää tietoa sisältäviin hankkeisiin liittyen, tai kansainvälisen pyynnön seurauksena. Jälkimmäisessä tapauksessa tilanne on usein se, että suomalainen yritys pääsee osallistumaan kansainväliseen tarjouskilpailuun, mikäli se täyttää hankkeen turvallisuusvaatimukset. Vaatimukset täyttävälle yritykselle toi-mivaltainen viranomainen voi myöntää tästä erillisen todistuksen (kansainvälisessä yhte-ydessä Facility Security Clearance, FSC). Olipa kyseessä kotimainen tai ulkomainen vaati-musasettelu, suomalaiset viranomaiset käyttävät turvallisuustason todentamiseen samoja vaatimuksia, jotka on esitetty KATAKRI:ssa kolmelle tasolle; perustaso, korotettu taso ja korkea taso. KATAKRIn vaatimustason toteuttaminen mahdollistaa vastaavasti luokitel-lut tietoaineiston käsittelyn, perustasolla (Restricted), korotetulla tasolla (Confidential) ja korkealla tasolla (Secret).

Tässä VAHTI-ohjeessa ja sitä täydentävissä Excel-työvälineissä on otettu huomioon myös turvallisuusluokiteltujen tietoaineistojen käsittelyä ja tietoturvallisuutta koskevia KATAKRI-auditointikriteereitä. Viranomaisen tulee huolehtia, että KATAKRI-auditoin-tikriteerit huomioidaan niissä tilanteissa, joissa niitä voidaan käyttää toimittajaa tai sen omaa toimintaa velvoittavina. Velvoittavuus tulee esimerkiksi tilanteissa

• kun tietoaineisto luokitellaan turvallisuusluokitusmerkinnällä• kun toimittaja tuottaa palvelua, jonka piirissä käsitellään kansainvälisiä turvallisuus-

luokiteltuja (kahdenvälisten sopimusten piiriin kuuluvia, tai esim. EU:n tai Naton) asiakirjoja

31

3 Suojattavien kohteiden määritteleminen

Tässä luvussa kuvataan miten organisaatio määrittelee suojattavat kohteet ja niiltä vaadit-tavan tietoturvatason. Tässä ohjeessa keskitytään teknisten vaatimusten toteuttamiseen siten, että tietoturva-asetuksessa edellytetyt perus-, korotetun tai korkean tietoturvatason vaatimukset saadaan toteutettua.

3.1 Suojattavien kohteiden määrittämisessä huomioitavaa

Ennen kuin organisaatio voi aloittaa suojattavien kohteiden määrittämisen ja niissä käsi-teltävien tietoaineistojen edellyttämien vaatimusten toteuttamisen, sen tulee selvittää, mitkä kaikki velvoitteet vaikuttavat suojattavien kohteiden määrittämiseen. Näitä ovat:

Pakolliset huomioitavat: – yleinen lainsäädäntö

º yksityiskohtaisen yksityiskohtainen lista on saatavilla Valtion IT-palvelukeskuksen työkalupakista

– organisaatiota koskeva erityislainsäädäntö º organisaation tulee itse tunnistaa näistä tulevat velvoitteet

– viranomaismääräykset

Lisäksi mahdollisesti huomioitavat: – VAHTI-ohjeet – organisaation työjärjestys – tehdyt sopimukset organisaation asiakkaiden, sidosryhmien ja sille palveluita tuotta-

vien toimittajien kanssa º organisaation sopimuskumppaneille esittämät vaatimukset º näiden tahojen vastavuoroisesti organisaatiolle esittämät vaatimukset

– muut mahdolliset sitoumukset – riskienarvioinnin vaikutukset

32 – käytössä olevan teknologian asettamat vaatimukset ja rajoitukset – muut toiminnassa noudatettavat kriteeristöt – kohteessa käsiteltävän tiedon omistajien erityisvaatimukset

Edellä mainittujen perusteella organisaatio voi määritellä suojattaviin kohteisiin liit-tyvät tietoturvatavoitteet, joiden pohjalta se voi käynnistää suunnittelutyön tavoitteiden mukaisten vaatimusten toteuttamiseksi.

3.2 Tietoturvallisuusasetuksen vaatimukset

Tietoturva-asetus velvoittaa noudattamaan eri suojaustasojen tietoaineistojen käsittelyssä riittäviä teknisiä menettelyitä 16 § (laatiminen – tallettaminen – muokkaaminen) ja 19 § (asiakirjan siirtäminen tietoverkossa) seuraavasti:

16 § Sähköisen asiakirjan laatiminen, tallettaminen ja muokkaaminen

”Valtionhallinnon viranomainen voi sallia, että suojaustasoon II kuuluva asiakirja talle-tetaan sähköisesti viranomaisen sellaiseen tietoverkkoon liitetylle tietovälineelle tai muulle laitteelle, jonka käyttö on rajoitettu, jos asiakirja talletetaan vahvasti salattuna tai se on muutoin vahvasti suojattu ja viranomainen on muutoinkin varmistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korkean tie-toturvallisuustason vaatimukset.”

”Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja tallete-taan viranomaisen tietoverkkoon liitetylle laitteelle, jos verkon käyttö on rajoitettu ja asia-kirja talletetaan salattuna tai muutoin suojattuna siten, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuustason vaatimukset. Sama koskee suojaustasoon IV kuuluvaa arkaluonteisia henkilötietoja tai bio-metrisiä tunnistetietoja sisältävää henkilörekisteriin talletettua asiakirjaa.”

sekä

19 § Asiakirjan siirtäminen tietoverkossa

”Suojaustasoon II kuuluvan asiakirjan saa lisäksi siirtää sellaisessa viranomaisen tietover-kossa, jonka käyttö on rajoitettu, jos asiakirja on vahvasti salattu tai se on muutoin vah-vasti suojattu ja valtionhallinnon viranomainen on muutoinkin varmistanut, että tieto-verkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan kor-kean tietoturvallisuustason vaatimukset.”

33”Valtionhallinnon viranomainen voi sallia, että suojaustasoon III kuuluva asiakirja siir-retään viranomaisen tietoverkossa, jonka käyttö on rajoitettu, jos viranomainen on var-mistanut, että tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttävät tavanomaisesti sovellettavan korotetun tietoturvallisuuden tason vaatimukset. Sama koskee suojaustasoon IV kuuluvien valtakunnalliseen henkilörekisteriin talletettujen arkaluonteisten henkilötie-tojen tai biometristen tunnistetietojen siirtämistä tietoverkossa. Suojaustasoon IV kuuluvan muun asiakirjan saa siirtää valtionhallinnon viranomaisen päättämällä tavalla.”

Edellisissä kohdissa mainittu ”tietoverkko ja tietojenkäsittely kokonaisuudessaan täyttä-vät”, tietoverkko tarkoittaa organisaation sisäverkkoa, tai käytettäessä organisaation ulko-puolisia palveluita, tietoliikenneyhteyttä sisäverkosta kyseiseen palveluun. Yksityiskoh-taisemmat tietoturvatasovaatimukset organisaation tietoverkoille löytyvät VAHTI 3/2010 Sisäverkko-ohjeesta sekä Kansallisesta turvallisuusauditointikriteeristöstä (KATAKRI, erityisesti I 400 -sarja).

Tietojenkäsittelyllä kokonaisuudessaan tarkoitetaan esimerkiksi:• hallinnollista tietoturvallisuutta • tietojenkäsittelyn hallinnollisia menettelyitä (ICT-palveluprosessit) • teknistä tietojenkäsittelyä (tekniset ICT-palveluiden ratkaisut) • teknistä tietoturvallisuutta (tekniset tietoturvaratkaisut).

Edellisen lisäksi sekä tietoturvallisuusasetus että VAHTI 2/2010 sisältävät lukuisia muita vaatimuksia, joita tässä ohjeessa ei oteta huomioon. Nämä koskevat esimerkiksi turvaluo-kiteltua tietoa sisältävän suojattavan kohteen fyysistä turvaamista, mille asetettavat audi-tointikriteerit on kuvattu kattavasti KATAKRI:n fyysisen turvallisuuden osiossa sekä val-misteilla olevassa VAHTI -toimitilojen tietoturvaohjeessa. Muita suojattavalla kohteelle asetettavia vaatimuksia ovat esimerkiksi hajasäteilystä aiheutuvien riskien vähentämiseen liittyvät toimet, joista Viestintäviraston NCSA-FI -yksikkö ohjeistaa erikseen.

3.3 Miten suojattavien kohteiden rajaus tulisi suorittaa?

Organisaation tulee tunnistaa omaan ydintoimintaansa liittyvät toiminnot ja prosessit sekä niitä tukevat tietojärjestelmät ja muut ICT-palvelut. Näistä muodostuu kokonaisuus, jonka tietoturvallisuudesta organisaation tulee huolehtia. Organisaation vastuu ei riipu siitä, tuottaako se tähän kokonaisuuteen liittyviä palveluita kokonaan tai osittain itse vai ostaako se niitä toimittajalta yksittäin tai laajamittaisempana ulkoistettuna kokonaisuu-tena. Alla on kuvattuna esimerkkejä eri tyyppisten organisaatioiden ICT-palveluista.

34Kuva 9. Yksinkertaistettu kuva pienen organisaation käyttämistä ICT-palveluista.

Kuva 10. Tässä esimerkissä keskitytään organisaation viestintäratkaisun tietoturvallisuuteen. Jotta organisaation sähköposti-, kalenteri- ja viestintäratkaisut toimivat, edellyttää se ainakin kuvassa esitettyjä esimerkinomaisia palveluita. Viestintäratkaisun tietoturvatasoksi on valittu siinä käsiteltävien tietoaineistojen sisällöstä ja tärkeysluokituksesta johtuen korotettu tietoturvataso, jolloin se edellyttää myös muiden viestintäratkaisuun liittyvien palveluiden ja prosessien tuottamista korotetulla tietoturvatasolla.

Viestintäratkaisu(sähköposti,

kalenteri)

Talous- jahenkilöstöhallinnon

sovellukset

Työasemapalvelut- japalvelinpalvelut

tietojärjestelmilleYdintoimintojentietojärjestelmät

Lähiverkon ja palvelinympäristön infrastruktuuripalvelut sekätietoturvapalvelut kuten haittaohjelmien torjuntaan liittyvät palvelut

Tietoliikenneverkko ja sen edellyttämät infrastruktuuripalvelut

Viestintäratkaisu (sähköposti, kalenteri)-sähköposti- ja kalenteripalvelinohjelmisto- Tärkeysluokka: tärkeä- Tietoturvataso: korotettu- Tietoaineistot: enintään ST III

Työasemapalvelu- ja palvelin-palvelut tietojärjestelmille- Käyttöjärjestelmä- www-selainohjelmisto- Sähköposti- ja kalenteriasiakas-ohjelmat- palvelin varmistusjärjestelmä- palvelin, työasemien ja muidenpäätelaitteiden hallintajärjestelmä- palvelinten ja päätelaitteidenpäivitysten jakelu- etäkäyttöpalvelut

Lähiverkon ja palvelinympäristön infrastruktuuripalvelut sekätietoturvapalvelut kuten haittaoohjelmien torjuntaan liittyvät palvelut- Active Directory, DNS, DHCP- Haittaohjelmien torjunta yhdyskäytävätasolla (http, smtp) sekätyöasematasolla

Tietoliikenneverkko ja sen edellyttämät infrastruktuuripalvelut- Ulkoinen DNS, palomuuri, IDS, näiden hallintapalvelut

35Kuvan esimerkki osoittaa, kuinka helposti yksittäinen korotetulla tietoturvatasolla oleva

järjestelmä aiheuttaa sen, että myös muut kyseisen palvelun tuottamiseen liittyvät keskei-set infrastruktuuripalvelut tulee toteuttaa korotetulla tietoturvatasolla.

Jos organisaatiossa on korotettua tasoa edellyttävien palveluiden ohella perustason pal-veluita, niin tietoliikenneverkko ja sen edellyttämät infrastruktuuripalvelut, kuten lähi-verkko ja palvelinympäristön infrastruktuuri, on mahdollista toteuttaa perustasolla, mikäli se voidaan tarkoituksenmukaisesti rajata korotetun tason palveluista. Usein onkin suosi-teltavaa pyrkiä rajaamaan ja eriyttämään eri tasojen järjestelmät toisistaan. Eriyttäminen on usein kustannustehokkain vaihtoehto, sillä silloin korkeamman tason suojauksia ei tar-vitse toteuttaa kaikkiin alemman tason ympäristöihin.

Kuva 11. Organisaatiolla saattaa olla kaikkien kolmen eri tietoturvatason ICT-järjestelmiä käytössä. Tällöin tulee tarkkaan miettiä, miten niitä tukevat pääte-, palvelin-, tietoliikenne- sekä muut infrastruktuuri- ja tukipalvelut tuotetaan kustannustehokkaasti, mutta kuitenkin täyttäen suojattavan kohteen edellyttämät tietoturvatasojen ja ICT-varautumisen vaatimukset. Osa kaupallisista palveluntarjoajista on päätynyt rakentamaan omat prosessinsa, palvelunsa ja tilansa täyttämään korkeimman mahdollisen tason (korkea tietoturva- ja ICT-varautumisen taso). Ne voivat kuitenkin myydä matalammalla tietoturvatasolla olevat palvelut alemmalla hinnalla johtuen esimerkiksi niiden alemmista SLA-palvelutasovaatimuksista.

Ydintoiminnan ICT-tietojärjestelmä

Perus-ICT-tietojärjestelmät

Palvelinympäristö Työasema- ja päätelaiteympäristö

Tietoliikenneratkaisut

Perustietoturvatasonpalvelut

Korotetun tietoturva-tason palvelut

Infra

stru

ktuu

ri- ja

muu

t tuk

ipal

velu

t

Korkean tietoturva-tason palvelut

Järjestelmä x Järjestelmä x

Järjestelmä x Järjestelmä x

Järjestelmä x Järjestelmä x Järjestelmä x Järjestelmä x

Järjestelmä x

Järje

stelm

ä xJä

rjeste

lmä x

Järjestelmä yJärjestelmä y

Järjestelmä y Järjestelmä y

Järjestelmä z

Järjestelmä z

Järjestelmä z

Järjestelmä z

Järjestelmä z Järjestelmä z

Järjestelmä z

Järje

stelm

ä z

Järjestelmä y

36Kuva 12. Koska ei ole olemassa vain yhtä ainoata oikeata toteuttamismallia, kannattaa yhtenä vaihtoehtona miettiä myös ratkaisua, jossa organisaatio tuottaa kaksi selkeästi toisistaan erillistä teknistä käyttöympäristöä, joista toinen mahdollistaa perustason ja toinen korotetun tietoturvatason vaatimusten täyttämisen. Ennen kuin päätös toteuttamismallista voidaan tehdä, organisaation on täytynyt luokitella käytössään olevat suojattavat kohteet ja sen perusteella tehdä päätökset teknisistä ratkaisuista, joilla suojattavien kohteiden edellyttämät tietoturvatasovaatimukset voidaan toteuttaa.

Organisaationperustason tekninenympäristöST IV

Organisaationkorotetun tason

tekninenympäristö

ST III

Perustason täyttäväpäätelaite

Korotetun tasontäyttäväpäätelaite

3.4 Järjestelmän tärkeysluokka

Järjestelmien tarkoituksenmukainen suojaaminen edellyttää sitä, että organisaatio on etu-käteen miettinyt järjestelmien tärkeyttä ja luokitellut järjestelmänsä sen mukaisesti. Jär-jestelmien tärkeysluokituksessa päätetään myös järjestelmältä edellytettävä tietoturvataso. Yksittäisten suojattavien kohteiden sijaan usein on tarkoituksenmukaisempaa niputtaa ne laajemmaksi toiminnaksi, jonka tärkeyttä arvioidaan.

Luokittelu tulee tehdä organisaatiossa käytössä olevan tärkeysluokitusmallin avulla. Periaatteessa jokaisella organisaatiolla voi olla oma malli, mutta se ei takaa järjestelmien yhdenmukaista luokittelua kattavasti läpi valtionhallinnon. Tästä syystä järjestelmien tär-keysluokittelu suositellaan tehtäväksi valtionhallinnossa seuraavan mallin avulla, joka on tarkemmin kuvattu tämän ohjeen liitteessä 5.4 sitä tukevine Excel-työkaluineen.

37Kuva 13. Suojattavien kohteiden tärkeysjärjestyksen muodostuminen. Luvusta 4.5 löydät esimerkkejä tärkeysluokituksen toteuttamiseksi.

Asiakirjan luokittelu julkinen vssuojaustasoluokka vs turvallisuusluokiteltava

Luottamuksellisuuden merkitysEheyden merkitys

Käytettävyyden merkitys

Merkitys organisaation ydintoiminnoille

Merkitys asiakkaalle tai muulletoimintaverkostolle

Merkitys yhteiskunnalle (YTS)

Lopputuloksena saadaan tärkeysluokka:Elintärkeä

Erittäin tärkeäTärkeä

Jonkin verran tärkeäVähäinen merkitys

VAHTI 2/2010 -ohjeessa todetaan sivulla 43:”Toteutettava tietoturvallisuustaso kussakin toimintaympäristössä tulee määrittää toi-

mintaprosessien ja niissä käsiteltävien tietojen sisällön ja merkityksen sekä niihin kohdistu-vien uhkien ja riskien pohjalta.”

Tärkeysluokituksen ohella on suositeltavaa rakentaa jokaiseen suojattavaan kohteeseen tietoturvallisuuden vuosikello tai käyttää organisaatiossa yleistä vuosikelloa, johon kiinni-tetään keskeiset suojattavien kohteiden tietoturvallisuuden ylläpidon prosessit, kuten ris-kien arviointi, jatkuvuus- ja toipumissuunnitelmien päivitys ja mahdollinen harjoittelu, muiden asiakirjojen katselmoinnit, raportointi sekä muut toistuvat prosessit.

Valtionhallinnossa on tarvetta laajemmallekin tärkeysluokitukselle palveluiden priori-sointia suunniteltaessa. Mikäli käyttöpalveluita valtionhallinnon organisaatiolle tuottavan toimittajan konesalissa tai tietoliikenneyhteyksissä syntyy sellainen häiriötilanne, että se edellyttää tuotettavien palveluiden priorisointia, tämän tulee tapahtua järjestelmien tär-keysluokituksen mukaisesti eikä esimerkiksi sen hetkisten voimassa olevien sopimusten tai

38niissä määriteltyjen sanktioiden perusteella. Sanktiot riippuvat suoritetusta kilpailutuksesta ja sen perusteella solmitusta sopimuksesta eivätkä välttämättä kuvaa järjestelmän tärkeyttä valtionhallinnolle tai yhteiskunnalle. Yhdenmukaisella kriteeristöllä tehtyä tärkeysluoki-tusta voidaan käyttää apuna palveluita hallitusti alas laskettaessa tai niitä ylös nostettaessa.

Lisätietoa tärkeysjärjestyksen luokittelun mahdollistavasta työkalusta löydät liitteestä 5.4.

39

4 Vaatimukset tekniselle tietotekniikkaympäristölle

VAHTI 2/2010 -ohje sisältää tietoturvatasojen perus-, korotetun ja korkean tason vaa-timukset. Tässä luvussa on listattu hyviä käytäntöjä ja ohjeita huomioitavaksi kaikissa organisaatioissa tarvittavien perustietotekniikka-, infrastruktuuri-, tuki- ja ydinjärjestel-mien ICT-palveluiden tuottamisessa. Tätä lukua täydentävät erilliset Excel-taulukot, joissa on yksityiskohtaisemmin purettu auki VAHTI 2/2010 -ohjeen tietoaineistojen elinkaaren hallinnan vaiheiden vaatimukset sekä VAHTI 2/2010 -ohjeen liitteessä viisi kuvattujen tietoturvatasojen vaatimusten toteuttamisen vaatimat tekniset ratkaisut.

4.1 Yleisiä vaatimuksia

VAHTI 2/2010 -ohjeessa todetaan sivulla 41:”Tietoverkkojen ja tietojärjestelmien sisältämät laitteet ja komponentit tulee sijoittaa tur-

vallisiin tiloihin (Tietoteknisten laitetilojen turvallisuussuositus, VAHTI 1/2002). Järjestel-mät tulee rakentaa siten, että toiminnan edellyttämä tietotyö voidaan suorittaa asetettujen käytettävyysvaatimusten mukaisesti.”

Kuten edellä on todettu, lisätietoa laitetilojen turvallisuudesta löytyy em. VAHTI-ohjeesta ja KATAKRI:n fyysisen turvallisuuden auditointikriteereistä. Käytettävyysvaati-muksista löytyy lisätietoa esimerkiksi JHS 174 ICT-palvelujen palvelutasoluokitus -suosi-tuksesta sekä ICT-varautumisen ja Huoltovarmuuskeskuksen SOPIVA-hankkeen ohjeista.

VAHTI 2/2010 -ohjeessa todetaan sivulla 43:”Tietoturvallisuusasetuksessa asetetaan valtionhallinnon viranomaisille vaatimus täyttää

vähintään tietoturvallisuuden perustaso. Perustason ympäristö mahdollistaa suojaustasoa IV sisältävien tietojen ja asiakirjojen käsittelyn selväkielisessä muodossa. Korotetun tieto-turvallisuustason ympäristö mahdollistaa suojaustasoa III sisältävien tietojen ja asiakirjojen käsittelyn selväkielisessä muodossa (tietoturvallisuusasetus, 16 § 3 mom.).

Korkean tietoturvallisuustason ympäristö mahdollistaa suojaustasoa II sisältävien tieto-jen ja asiakirjojen käsittelyn selväkielisessä muodossa (tietoturvallisuusasetus 16 § 2 mom.).

Suojaustasoa I sisältävien tietojen selväkielinen käsittely voidaan toteuttaa vain erillis-verkkoympäristöissä, joissa ei ole liitäntöjä alemman tietoturvallisuustason ympäristöön. Tiedonkäsittelyyn käytettävien laitteiden (työasemien, vast) tulee täyttää kyseiselle tietotur-

40vallisuustasolle asetetut vaatimukset. Työasema, joka itsessään täyttää korkeamman tieto-turvallisuustason vaatimukset, on mahdollista erilliseen viranomaishyväksyntään perustuen liittää alemman tietoturvallisuustason ympäristöön.”

Tässä yhteydessä tulee korostaa sitä, että organisaation saavuttaessa suojattavalta koh-teelta edellytettävän tietoturvatason, voidaan vastaavaa suojaustasoa olevaa tietoaineistoa käsitellä selväkielisessä muodossa eli salaamattomana. Mikäli tietoa halutaan välittää mui-hin organisaatioihin tai tietojärjestelmiin, jotka eivät ole samalla tietoturvatasolla, pitää tietoaineisto salata siirron ajaksi. Salaamattomana välittämisen edellytyksenä on, että myös tiedonsiirtokanava kokonaisuudessaan täyttää kyseisen tietoturvatason vaatimukset. Mikäli tietoa vastaanottavan osapuolen tietoturvatasoa ei tiedetä, tulee organisaation huo-lehtia siitä, että vastaanottaja käsittelee tietoa suojaustason vaatimusten mukaisesti. Salassa pidettävien tietojen tekniseen suojaamiseen tulee riskiarvioinnin perusteella käyttää riit-tävää suojausta kyseiselle suojaustasolle.

Esimerkiksi riittävän salauksen arvioinnissa voidaan hyödyntää Viestintäviraston hyväksymiä salausratkaisuja turvaluokitelluille tiedoille (ks. http://www.ncsa.fi, NCSA-FI:n hyväksymät salausratkaisut turvaluokitellulle tiedolle.

Samoin on tärkeätä huomata, että korkeamman tietoturvatason vaatimukset täyttävä työasema (esimerkiksi korotetun tason työasema) voidaan liittää alemman tietoturvata-son ympäristöön (esimerkiksi perustason ympäristö) hyväksyttävän, korkeammalla tasolla toimivan yhdyskäytäväratkaisun avulla. Hyväksyttävä yhdyskäytäväratkaisu estää korke-amman tason aineiston siirtymisen alemman tason ympäristöön. Hyväksyttäviä yhdys-käytäväratkaisuja on käsitelty yksityiskohtaisemmin esimerkiksi KATAKRI:ssa (ks. eri-tyisesti I 401.0).

4.2 Työasemat ja päätelaitteet

Työasemat ja päätelaitteet muodostavat keskeisen rungon organisaation ICT-palveluiden käytölle. Päätelaitteita tulee tarkastella laajasti jolloin perinteisten työasemien (pöytätie-tokoneet ja kannettavat tietokoneet) ohella tulee huomioida myös älypuhelimet, tablet-tietokoneet, muut päätelaitteet sekä pääteistunnot. Päätelaitteen tyypistä riippumatta sen tulee täyttää kyseisen käyttötarkoituksen ja käytettävän ICT-palvelun (tässä tapauksessa suojattava kohde) asettamat vaatimukset.

Julkisuudessa on ollut paljon esillä kuluttajistuminen ja siihen liittyvä BYOD-malli (Bring your own device). Tämä tarkoittaa sitä, että käyttäjä voi käyttää organisaation työ-tehtävien hoitamiseen omia, pääsääntöisesti vapaa-ajalla käyttämiään päätelaitteita. Eten-kin vapaa-ajan käytössä olevien päätelaitteiden osalta keskeinen haaste on laitteen käyttö muun kuin julkisen tiedon käsittelyyn. Tällaisen laitteen varustaminen esimerkiksi kiin-tolevyn salakirjoituksella ja keskitetysti hallittavalla haittaohjelmien torjuntajärjestelmällä voi aiheuttaa niin merkittäviä lisäkustannuksia, ettei se ole tarkoituksenmukaista tai muu-tenkaan mahdollista.

http://www.ncsa.fi

414.2.1 Kaikissa päätelaitteissa sekä palvelimissa huomioitavia seikkoja

Organisaation keskeisimpiä päätöksiä päätelaitteiden tietoturvallisuuden osalta on se mille tietoturvatasolle sen käytössä olevat päätelaitteet vakioidaan ja kovennetaan. Vaa-ditaan päätös siitä, mitkä organisaation päätelaitteista toteutetaan perus-, korotetun tai mahdollisesti korkean tietoturvatason vaatimukset täyttäviksi. Valtaosa valtionhallinnon organisaatioista tulee toimeen perus- tai korotetun tason päätelaitteilla. Useimmat pää-telaitteiden koventamiseen liittyvät toimenpiteet tulee toteuttaa vastaavalla tavalla myös kyseisen tietoturvatason palvelimissa. Edellytettäviä toimenpiteitä on kuvattu yksityis-kohtaisemmin KATAKRI:ssa (ks. erityisesti I 502.0).

Korkean tason päätelaiteympäristö on tarpeellinen niille organisaatioille, joilta edelly-tetään esimerkiksi ST II- tai I -tietoaineistojen käsittelykykyä tai vaatimukselle on muita perusteltuja syitä. Tyypillisiä korkean tietoturvatason päätelaitteita käyttäviä organisaati-oita ovat osa ns. TUVE-verkkoon liittyvistä tahoista ja/tai muut sellaiset turvaviranomaiset, joilta vaaditaan korkeaa tietoturvatasoa. Muissa organisaatioissa saattaa olla tarve käyttää yksittäisiä korkean tietoturvatason päätelaitteita esimerkiksi ST II- tai I -tietoaineistojen käsittelemiseksi.

Päätelaitteiden ja palvelimien tietoturvallisuus tulee rakentaa kerrostetun tietoturva-arkkitehtuurin mukaisesti (ns. sipuli-malli). Tällöin yhden tai useamman teknisen tieto-turvakontrollin pettäessä toiminnassa olevat tekniset ratkaisut joko estävät tai rajoittavat syntynyttä ongelmaa. Kerrostuneisuus tulee alkaa päätelaitteista ja jatkua tietoliikenneverk-kojen ja laitteiden kautta käytettäviin palvelimiin ja palveluihin. Seuraavassa on kuvattu suositeltavia esimerkkejä eri osa-alueilla käytettävistä teknisistä tietoturvaratkaisuista.

Esimerkkejä päätelaitteisiin liittyvistä teknisistä ratkaisuista, joita voidaan käyttää laitteiden suojaamisessa – näitä voidaan soveltaa jo perustasolla, mutta useimmat liit-tyvät korotetun tason työasemakäyttöön – tarkemmin Excel-liitteissä 5.2 ja 5.3.

– päätelaitteen käynnistys- ja muiden asetusten vakioiminen º kuten tunnettua, BIOS-käynnistysasetusten ohittaminen on teknisesti mahdollista, º uudemmilla BIOS- ja muilla käynnistysratkaisuilla (UEFI, secure boot) voidaan

asetuksia suojata tehokkaammin – kiintolevyn salaaminen siten, että organisaatiolla on tarvittaessa pääsy salatulle levyl-

le, jos käyttäjä ei tiedä salasanaa tai tiedot on varmistettu organisaation levyjärjestel-mään

– vaihdettavien apumuistien salaaminen – käyttöoikeuksien rajoittaminen

º käyttäjällä saa olla vain käyttäjätason (user) käyttöoikeudet º järjestelmänvalvojatason käyttöoikeuksia saa käyttää työasemassa vain sellaisten

tehtävien toteuttamiseen, jotka eivät onnistu käyttäjätason oikeuksilla – käyttöjärjestelmän ja sovellusten koventaminen sekä tietoturva-asetusten määrittämi-

nen

42 º käytettävien ohjelmistojen määrän minimoiminen osana vakiointia º Windows-työasemaympäristössä työaseman lokiin kerättävät tapahtumat (suojaus-

eli security-lokin valvontakäytännöt) º käytettävän www-selainohjelman asetukset ja koventaminen º sähköpostiohjelmiston asetukset ja koventaminen º PDF-lukijoiden, toimisto-ohjelmistojen ja vastaavien asetukset ja koventaminen

– Windows-työasemaympäristössä GPO-ryhmäkäytäntöjen hyödyntäminen º pakotetut asetukset; ohjeita näistä löytyy yleisimmistä käyttöjärjestelmien vakioin-

tiohjeista – Windows-työasemaympäristössä Active Directory -toimialueen keskitetyt tietoturva-

asetukset º salasana- ja muut toimialueen tietoturvapolitiikkaan liittyvät asetukset

– käyttöjärjestelmän ja sovellusten tietoturva- ja muiden päivitysten jakelu sekä rapor-tointi º esimerkiksi Windows-työasemaympäristössä keskitetyn hallinnan ulkopuolella

olevissa tietokoneissa suoraan käyttäen WindowsUpdate -palvelua º muissa työasemissa käyttäen keskitettyä päivitysten jakelua Microsoft WSUS-

palvelinohjelmistolla tai muulla vastaavalla ohjelmistolla – Windows-työasemaympäristössä sallittujen ajettavien sovellusten ja skriptien sekä

asennustiedostojen määritteleminen º esimerkiksi Windows-työasemaympäristössä Applocker-toiminnallisuus

– käyttäjän ja/tai työaseman vahvan tunnistamisen mahdollistavat teknologiat etäyhte-yksissä ja muussa tunnistamisessa

– päätelaitteen haittaohjelmien torjunta º perinteisten antivirus-ohjelmistojen lisäksi myös muiden haitallisten ohjelmien tor-

junta º useissa sovelluksissa on lisätoiminnallisuuksina esimerkiksi www-liike

ict- ympä-...julkisen hallinnon ict-toiminto ohje 22.11.2012 ministeriöille, virastoille ja...

Documents