Tulostusversio

4/2009

Profiili: Valtion IT-palvelukeskus

Teksti: Kimmo Rousku

Valtion IT-palvelukeskus ohjaa ja opastaa valtionhallintoa tietoturvallisuudessa.

Valtiokonttorissa vuoden 2009 alussa aloittanut Valtion IT-palvelukeskus eli VIP kehittää ja tuottaa valtion yhteisiä IT-palveluja. Tämä mahdollistaa myös toimimisen ns. inhouse-yksikkönä, jolloin asiakkaiden ei tarvitse kilpailuttaa VIPin palveluita, vaan VIP järjestää, hankkii ja tuottaa niitä koko valtionhallinnon puolesta. Osana tätä toimintaa VIPin tietoturvapalvelut-ryhmä tarjoaa palveluita hallinnon tietoturvallisuuden kehittämiseen.

Vähintään perustason tietoturvaa

Valtiovarainministeriössä toimiva Valtion IT-toiminnan johtamisyksikkö on vastannut kahden merkittävän valtionhallinnon tietoturvallisuutta kehittävän hankkeen toteuttamisesta. Nämä ovat tietoturvatasojen (TTT 2007-2008) ja ICT-varautumisen (eVARE 2008-2010) kehittämishankkeet.

Tietoturvatasot määrittävät perustason, joka jokaisen hallinnon organisaation tulee saavuttaa niin organisaation oman toiminnan kuin tietoaineistojen ja -järjestelmien suojaamisessa.

Organisaatiossa käsiteltävien tietojen luonne määrää sen tietoturvatason, jota organisaatiossa sekä sen toimittajayhteistyössä ja alihankintajärjestelyissä on noudatettava. Tavoitteena on varmistaa hallinnossa käsiteltävien tietojen turvallisuus.

Kaikkien hallinnon organisaatioiden on täytettävä vähintään perustason vaatimukset. Jos perustaso ei riitä organisaation toiminnan tai suojattavien kohteiden suojaamiseen, on mahdollista valita korotettu tai korkea taso, jotka sisältävät perustasoa vaativampia menetelmiä tietoturvallisuuden varmistamiseen.

Varautumista tehostetaan

ICT-varautumisen tavoitteena on varmistaa toimintojen jatkuvuus sekä mahdollistaa julkishallinnon yhtenäinen ja koordinoitu erityistilanteisiin varautuminen kustannustehokkaasti ja yhtenäisesti.

Normaalisti organisaatioissa on pyritty varautumaan jokapäiväisiin normaalioloissa tapahtuviin häiriötilanteisiin, mutta nyt varautumista laajennetaan koskemaan koko toimintaverkostoa sekä ottamaan paremmin huomioon poikkeusolojen edellyttämät vaatimukset.

Asiantuntijoilta apua auditointiin

Valtionhallinnon organisaatiot saavat VIPistä käyttöönsä asiantuntija-apua ja sähköisiä palveluita, joiden avulla tietoturvatasoihin ja ICT-varautumiseen liittyvät velvoitteet ovat helpommin saavutettavissa.

Organisaatio voi tilata asiantuntijapalveluista auditoijan, joka tekee hallinnollisen ja/tai teknisen tietoturva-auditoinnin valittuun kohteeseen. Auditoinnilla selvitetään, miten hyvin esimerkiksi organisaatio, sen tietojärjestelmä tai verkkopalvelu saavuttaa tietoturvatasojen tai ICT-varautumisen vaatimukset.

Koska auditoinneissa löytyy yleensä jotain korjattavaa, VIP tarjoaa apua myös korjaustoimenpiteisiin. Organisaatio voi auditoinnin jälkeen itsekin korjata tai pyytää omien palveluidensa käyttöpalveluja tuottavaa toimittajaa korjaamaan poikkeamat. VIPistä voi myös tilata tietoturvakonsultin korjaamaan löytyneitä poikkeamia. 

Konsultin voi tilata myös avustamaan esimerkiksi uuden ohjeistuksen tai prosessin tuottamisessa tai organisaation tietoturvallisuuden hallintajärjestelmän kehittämisessä. 

VIPin tietoturvallisuuden asiantuntijapalvelut toteutetaan käyttämällä ulkopuolisia, sertifioituja ja turvaselvitettyjä asiantuntijoita, jotka hankitaan hyödyntämällä valtion yhteishankintayksikkö Hanselin voimassa olevia puitesopimuksia.

Työkalupakista parhaat käytännöt

Asiantuntijapalveluiden ohella VIP-tietoturvapalvelut tuottavat sähköisiä palveluita. Tällaisia ovat esimerkiksi www-portaali, jonka työnimenä on Tietoturvallisuuden työkalupakki. Se on tietoturva-asioiden oppimisympäristö ja materiaalipankki.

Oppimisympäristön yhtenä keskeisenä hankkeena toteutetaan sähköinen peruskäyttäjien tietoturvakurssi, jonka päätteeksi käyttäjä voi suorittaa omaa osaamistaan mittaavan kokeen. Lisäksi työkalupakkiin tuotetaan valmiita malleja, asiakirjoja ja muita hyödyllisiä sähköisiä työvälineitä tietoturvatasojen ja ICT-varautumisen tueksi.

Tietoturva perustuu riskienarviointiin

Tietoturvallisuuden ylläpitämisen ja kehittämisen tulisi perustua säännölliseen riskienarviointiin. Usein todetaan, että tietoturvallisuus heikentää tekniikan käytettävyyttä. Väärin toteutettuna tietoturva voi tehdä palvelunestohyökkäyksen organisaation omaa toimintaa vastaan.

Jotta suojattavien kohteiden helppokäyttöisyys ja tietoturvallisuus saadaan tasapainoon, tarvitaan riskienarviointia. Hallinnossa on käytössä vaihtelevia menetelmiä ja työvälineitä riskienarvioinnin toteuttamiseksi. VIP-tietoturvapalvelut tuottaa yhteisen sähköisen työvälineen niille organisaatioille, joilla ei ole käytettävissään tarvittavia työkaluja vuosikellonsa mukaiseen tietoturvallisuuden riskien arvioimiseen. Samalla VIP pyrkii kehittämään uusia apuvälineitä tietoturvavaatimusten ja toimintaverkoston hallintaan.

Jotta tietojärjestelmä, verkkopalvelu tai muu organisaation toiminnan kannalta tärkeä suojattava kohde osataan sijoittaa oikealle tietoturvatasojen- tai ICT-varautumisen edellyttämälle tasolle, täytyy huomioida useita vaatimuksia. VIPin tietoturvapalvelut kehittää työvälinettä helpottamaan tätä arviointityötä. Sen avulla tason valitseminen voitaisiin tehdä luotettavasti, nopeasti ja yhtenäisesti kaikilla hallinnonaloilla. Samalla työvälineellä voidaan tutkia vaatimuksia myös aihepiireittäin, etsiä esimerkiksi kaikki sopimuksia tai kouluttamista koskevat vaatimukset.

---

Onko sinulla toiveita tai ideoita siitä, miten VIP voi parantaa valtionhallinnon tietoturvallisuutta? Lähetä sähköpostia osoitteeseen tietoturva.vip[at]valtiokonttori.fi

 

Lue myös

Tunnistaminen: Hallinnon tunnistamispalvelut kasvavat »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.