Tulostusversio

4/2009

Tietoturva: Luokittelu lujittaa tietoturvaa

Teksti: Kirsi Castrén

Uusi asetus laajentaa valtionhallinnon tietoturvaa sekä saattaa salaisten ja asiakirjojen tietoturvasäännöt vastaamaan kansainvälistä käytäntöä.

Valtionhallinto on saamassa entistä täsmällisemmät tietoturvasäännöt. Oikeusministeriössä viimeistellään paraikaa asetusta tietoturvallisuudesta ja hyvästä tiedonhallintotavasta valtionhallinnossa.

"Voimassaolevassa julkisuuslaissa on jo nyt asetus valtionhallinnon tietoturvallisuudesta, mutta se on hyvin yleinen velvoite. Sitä, miten tiettyyn turvallisuustasoluokkaan kuuluvien asiakirjojen kanssa tulee menetellä, ei ole määritelty asetuksen tasolla," toteaa asetusta valmistellut lainsäädäntöneuvos Anna-Riitta Wallin.

Asetuksen ohella salassa pidettävien asiakirjojen käsittelyä opastaa valtiovarainministeriössä toimiva valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI.

Asetusta on valmisteltu yhdessä valtionvarainministeriössä laadittavien, sen täytäntöönpanoa koskevien ohjeiden kanssa ja ne tullaan julkaisemaan yhtaikaa.

Neliportaiseen luokitteluun

Nykylainsäädännössä tietoturvallisuustasoluokkia on kolme, asetusehdotuksen mukaan neljä.

Luokittelu voisi ehdotuksen mukaan kohdistua paitsi salassa pidettäviin asiakirjoihin myös asiakirjoihin, joiden sisältämää tietoa saa lain mukaan käyttää tai luovuttaa vain määrättyyn tarkoitukseen.

Luokittelumerkintään voidaan liittää turvallisuusluokitus silloin, kun kysymys on keskeisten yleisten etujen suojaamisesta, tai jos asiakirja liittyy kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseen.

Asetuksessa säädetään ensi kertaa myös toimitilojen turvallisuudesta: Esimerkiksi tiloissa, joissa käsitellään kahteen korkeimpaan suojausluokkaan kuuluvia aineistoja, on voitava tunnistaa siellä liikkuvat henkilöt. Luokiteltuja asiakirjoja saisi pääsääntöisesti käsitellä vain viranomaisen tiloissa.

Viranomaisen on varmistuttava, että tietojärjestelmät, joissa luokiteltuja asiakirjoja käsitellään, täyttävät korkean tietoturvallisuustason vaatimukset.

Myös kirjaamisvelvoitteesta on säädöksiä. Suojaustasoa I-III edellyttävien asiakirjojen sekä henkilörekisteriin talletettujen matalimman suojaustason (IV) asiakirjojen käsittely tulee kirjata sähköiseen lokiin tai manuaaliseen diaariin.

Ei vaikutusta julkisuuteen

Tietoturvallisuusasetuksesta huolimatta on yhä pääsääntöisesti viranomaisen omassa harkinnassa, luokitellaanko salassa pidettävä asiakirja suojaustasoluokkiin vai ei.

Lainsäädäntöneuvos muistuttaa, ettei asiakirjojen mahdollinen luokittelu millään tavoin vaikuta niiden julkisuuteen.

"Huolenaiheena on, että vaikka asetuksen nojalla tehdyt merkinnät eivät sinänsä ratkaise asiakirjan julkisuutta millään tavalla periaatteellisessa mielessä, tosiasiassa niillä voi olla senkaltaista vaikutusta. Silloin se uhkaa perustuslailla suojattua, julkisuusperiaatteen mukaista tiedonsaantioikeutta."

Wallin toivookin, että asetuksen täytäntöönpanossa hyödynnettäisiin valtionhallinnon laajapohjaista asiantuntemusta.

"Olisi erittäin tärkeää, että kun ohjeistoja käydään läpi virastoissa, mukana olisi moniammatillista osaamista. Ratkaisut eivät saisi jäädä yksistään tietoturva-asiantuntijoiden tai tietohallintoasiantuntijoiden asiaksi, vaan mukana olisivat hallintojuristit, tietopalvelun, arkiston ihmiset ja muut, jotka hyvin tuntevat julkisuuslainsäädäntöä."

Huippusalaista tietoa sähköisesti

Vaikka uudistus tuokin salassa pidettävien tietojen käsittelyyn joitakin lisävaiheita, eivät kaikki tietoturvavelvoitteet kuitenkaan näy asiakirjoja käsittelevän virkamiehen työpöydällä.

Monet velvoitteet koskevat pääasiassa tietojärjestelmien suunnittelijoita. Erityisen suuret vaatimukset kohdistuvat niihin järjestelmien rakentajiin, jotka laativat väyliä sähköiselle tiedonsiirrolle.

"Aiemmin on katsottu ettei korkeimpiin tietoturvallisuusluokkiin kuuluvia, turvallisuusluokiteltuja 'top secret' -tietoja saa lainkaan siirtää sähköisesti. Kielto sähköisestä siirrosta on ollut myös monissa kansainvälisissä sopimuksissa. Nyt on selvästi käynnissä muutos siihen suuntaan, että tietyin edellytyksin tietoja voidaan siirtää myös sähköisesti. Esimerkiksi EU on uusimassa tietoturvasääntöjään tältä osin", Wallin kertoo.

Korkean tason kansainväliset sähköiset yhteydet kiinnostavat usein ulkopuolisiakin.

"Vaikka sähköistä tiedonsiirtoa ollaankin nyt avaamassa, ehdot ovat ymmärtääkseni melkoisen kovat. Myös asetusehdotus tähtää siihen, että mahdollisessa sähköisessä siirrossa käytettävät välineet olisivat parasta käytettävissä olevaa tekniikkaa," Wallin korostaa.

Salatut ja turvatut lähiverkot tulevat mahdollistamaan myös salassa pidettävien asiakirjojen sähköisen siirtämisen, kertoo puolustusvoimien tietoturvapäällikkö Kalevi Hyytiä. Hän on osallistunut tietoturvallisuusasetuksen valmisteluun.

”Esimerkiksi erittäin salaista ja salaista tietoa voidaan tietyin rajauksin käsitellä erikseen nimetyissä korkean tietoturvatason verkoissa, joihin ei ole yhteyttä muista tietoverkoista."

VAHTIn uusi ohje salassa pidettävien asiakirjojen käsittelystä koskee lähinnä valtionhallintoa, mutta siinä esitettyjä periaatteita tulee noudattaa kaikessa viranomaisen toimeksiantoon pohjautuvassa työssä.

Selkokielinen viesti suojaton

Huippusalaisten asiakirjojen liikennettä seurataan monilta tahoilta. Esimerkiksi länsivaltojen vakoilujärjestelmä Echelon on keskittynyt nimenomaan sähköisen viestinnän seurantaan. Kalevi Hyytiän mukaan uhka tunnistetaan:

"Maailmanlaajuisessa verkossa uhka on kaikkialla yhtä suuri: Jokainen työasema on löydettävissä, ja selkokielinen viesti internetissä on täysin suojaton. Kuitenkin, jos tieto kulkee esimerkiksi optista kuitua myöten, josta ei ole minkäänlaisia yhteyksiä ulos, ei siihen pystytä murtautumaan."

Tietojen siirto ulkomaille sisältää omat riskinsä, kun on pakostakin tukeuduttava osin myös julkisiin palveluihin. Säilyvätkö kuriiri ja paperiposti jatkossakin?

"Julkisissakin verkoissa voidaan tietoa toisinaan siirtää, kun se on vahvasti salattua", Hyytiä sanoo.

"Myös kuriiria ja paperimuotoista postia tullaan käyttämään varmasti tulevaisuudessakin paljon. Siinä jäljitettävyys ja sen varmistaminen, että viesti päätyy oikealle henkilölle, on helpompi toteuttaa."

Tietosuojakin huomioitu

Tietoturvallisuusasetuksen valmistelu on kestänyt suhteellisen kauan, jo kuusi vuotta useine lausuntokierroksineen.

"Kyseessä on laaja säädös, joka sisältää hyvin paljon huomioon otettavia yksityiskohtia. Valmistelu työryhmässä on ottanut aikansa, ja se on suuri askel eteenpäin," Hyytiä pohtii.

Myös tietosuojavaltuutetun toimisto on osallistunut asetuksen valmisteluun.

”Henkilötietolainsäädännöstä tulee melko paljon vaatimuksia tietojen käsittelysäännöille. Niiden huolellinen mukaanotto asetuksen ja ohjeiden valmistelussa on ollut iso työ ja uskon, että se näin laajasti huomioituna yhtenäistää henkilötietojen käsittelyä valtionhallinnossa," Hyytiä arvioi.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.