Tulostusversio

3/2009

Tietoturva: NSA ohjaa tietoturvatyötä

Teksti: Ilkka Heiskanen

Kansallinen turvallisuusviranomainen ohjaa kansainvälisiin tietoturvavelvoitteisiin liittyvää työtä. Velvoitteiden täyttämisellä varmistetaan, että suomalaisyritykset voivat osallistua kansainvälisiin, luokiteltua tietoa edellyttäviin hankkeisiin.

Kansallisen turvallisuusviranomaisen tehtävää on sen perustamisesta 1994 lähtien hoidettu ulkoministeriössä. Nimike on käännös termistä National Security Authority (NSA).

Kansallisen turvallisuusviranomaisen tehtävänä on ohjata ja valvoa että kansainväliset luokitellut tietoaineistot suojataan ja niitä käsitellään asianmukaisesti, koordinoida määrättyjen turvallisuusviranomaisten toimintaa, osallistua Suomen edustautumiseen kansainvälisissä tietoturvallisuuskokouksissa, neuvotella kahden- ja monenvälisiä tietoturvallisuussopimuksia sekä myöntää turvallisuustodistuksia.

Sopimuksia tietojenvaihdosta

Suomen viranomaiset sekä yritykset ja laitokset saavat käsiteltäväkseen ulkomaisia luokiteltuja tietoja eri kansainvälisten velvoitteiden pohjalta. Näitä ovat muun muassa Suomen ja Naton välinen tietoturvasopimus ja useat kahdenväliset tietoturvasopimukset.

Kahdenvälisiä tietoturvasopimuksia on voimassa kymmenkunta; niitä on solmittu Saksan, Ranskan, Italian, Latvian, Viron, Puolan, Tshekin, Slovakian ja Slovenian kanssa. Lisäksi eräiden maiden kanssa on eritasoisia pöytäkirjoja.

Valmiiksi neuvoteltuja mutta vielä allekirjoitusta tai ratifiointia vailla ovat sopimukset Alankomaiden ja Espanjan kanssa sekä Pohjoismaiden välillä. Neuvottelut ovat käynnissä Ison-Britannian ja Luxemburgin kanssa, ja neuvottelualoitteet on tehty Sveitsille, Etelä-Afrikalle ja Yhdistyneille Arabiemiraateille.

Aloitteet tietoturvasopimusten neuvottelemiselle syntyvät käytännön tarpeesta, kun Suomen teollisuus tai puolustusvoimat tarvitsevat selkeää säännöspohjaa sellaiselle yhteistyölle, jossa vaihdetaan luokiteltua tietoa. Kun tällaista tarvetta ilmenee, on syytä ottaa yhteys kansalliseen turvallisuusviranomaiseen ja keskustella tilanteesta.

EU:n turvasäännöt valmiiksi

Euroopan unionin neuvosto on juuri saamassa päätökseen neuvottelut uusista turvallisuussäännöistään. Niissä säädetään turvaluokiteltujen tietojen suojaamisen perusperiaatteista ja vähimmäisvaatimuksista, jotka sitovat neuvostoa ja joita jäsenvaltiot noudattavat kansallisten lakiensa ja määräystensä mukaisesti.

Neuvotteluprosessi kesti puolitoista vuotta, ja jäsenmaiden kansalliset turvallisuusviranomaiset kokoontuivat neuvoston ja komission edustajien kanssa neuvoston turvallisuuskomiteassa käytännössä kuukausittain.

Samalla EU:n jäsenvaltiot neuvottelivat hallitustenvälisen tietoturvasopimuksen. Säännöt ja sopimus on tarkoitus hyväksyä lopullisesti tänä syksynä ja viedä sitten eduskunnan ratifioitavaksi.

Todistuksia turvallisuudesta

Luokitellun aineiston käsittelyä varten yksittäiset henkilöt sekä yritykset ja laitokset tarvitsevat turvallisuustodistuksen. Henkilöturvallisuustodistus annetaan turvallisuusselvityksen perusteella.

Turvallisuusselvitykset siviilihenkilöille tekee suojelupoliisi ja todistuksen antaa kansallinen turvallisuusviranomainen. Puolustusvoimien palveluksessa oleville ja puolustusvälineprojekteihin osallistuville henkilöille turvaselvityksen tekee ja todistuksen myöntää pääesikunta.

Yhteisöturvallisuustodistuksen perusteena olevan turvallisuusauditoinnin tekee suojelupoliisi, ja todistuksen myöntää kansallinen turvallisuusviranomainen.

Hajautettua toimintaa

Monissa maissa, varsinkin vanhoissa Naton jäsenmaissa, NSA-virasto on suuri ja sillä on laaja tietoturvallisuustehtävä. Suomessa toiminta on järjestetty kevyesti ja hajautetusti.

Varsinainen kansallinen turvallisuusviranomainen toimii ulkoministeriössä suoraan kansliapäällikön alaisena, ja sen tehtävä on lähinnä koordinoida muiden toimijoiden työtä. NSA-toimintaa tehdään hyvin ohuin resurssein: ulkoministeriössä työtä tekee kaksi virkamiestä ja yksi sihteeri.

Tehtäviä on delegoitu määrätyille turvallisuusviranomaisille (Designated Security Authority, DSA). Ne ovat puolustusministeriö, pääesikunta ja suojelupoliisi.

Lisäksi kansallisen viestintäturvallisuusviranomaisen (National Communications Security Authority, NCSA) tehtävää on hoitanut Viestintävirasto, joskaan tätä tehtävää ei ole mainittu nykyisessä laissa kansainvälisistä tietoturvallisuusvelvoitteista. Uusi laki on kuitenkin valmisteilla, ja siinä on tarkoitus vakiinnuttaa Viestintäviraston asema NCSA:na ja antaa sille tarvittavat resurssit.

Viranomaiset yhteistyössä

NSA:n apuna ja johdolla toimii myös kansallisen turvallisuusviranomaisen yhteistyöryhmä. Yhteistyöryhmä toimii kaikkien NSA-toimintaan osallistuvien viranomaisten yhteistyöelimenä. Siihen kuuluvat DSA:t eli puolustusministeriö, pääesikunta ja suojelupoliisi, tuleva NCSA eli Viestintävirasto sekä valtioneuvoston kanslia, valtiovarainministeriö, sisäministeriö, oikeusministeriö, työ- ja elinkeinoministeriö ja liikenne- ja viestintäministeriö.

  • Yhteistyöryhmä on jakautunut alatyöryhmiin, joita ovat muun muassa:
  • sopimustyöryhmä, joka valmistelee kansainvälisiä tietoturvasopimuksia
  • Nato-tiedonvälitystyöryhmä, joka kehittää tiedonvälitysjärjestelmiä Naton kanssa
  • EU:n tietoturvallisuustyöryhmä
  • avaruustyöryhmä, joka käsittelee satelliittien tietoturvallisuutta
  • teollisuustyöryhmä, joka käsittelee suomalaisen liike-elämän tietoturvallisuuskysymyksiä
  • ydinturvallisuustyöryhmä, joka käsittelee ydinvoimaan liittyviä tietoturvallisuuskysymyksiä.

Alatyöryhmät ovat avoimia yhteistyöryhmän jäsenille ja niihin kutsutaan kunkin alan asiantuntijoita.

Yhteistyöryhmän keskeisiin tehtäviin kuuluu muun muassa kansainvälisten tietoturvallisuusvelvoitteiden toimeenpano ja niihin liittyvien hallintomenettelyjen kehittäminen kansainvälisiä velvoitteita vastaavasti.

Ryhmä kehittää myös henkilö- ja yhteisöturvallisuusselvityksissä tarpeellisia menettelyjä. Tässä huomioidaan myös suomalaisten yritysten toimintaedellytysten turvaaminen. Selvitysten menettelytapoja pyritään yksinkertaistamaan ja niiden vaatimaa aikaa lyhentämään, jotta yritysten mahdollisuudet osallistua kansainvälisiin tarjouskilpailuihin paranisivat.

Ryhmä valmistelee ja ohjeistaa kahden- ja monenvälisiä tietoturvasopimusneuvotteluja. Se myös koordinoi viranomaisten osallistumista kansainvälisten tietoturvallisuusalan yhteistyöelinten toimintaan ja alan kokouksiin.

Viranomaisten yhteistyöllä tehostetaan Suomen kansainvälisten tietoturvallisuusvelvoitteiden täyttämistä. Näiden velvoitteiden täyttämisellä on poliittisen ja sotilaspoliittisen merkityksen lisäksi myös tärkeä kauppapoliittinen ja vienninedistämisen ulottuvuus: Kansallisen turvallisuusviranomaisen toiminnalla varmistetaan tietosuojavaatimusten osalta suomalaisten yritysten osallistumismahdollisuudet kansainvälisiin, luokiteltua tietoa edellyttäviin tarjouskilpailuihin ja muihin vastaaviin hankkeisiin.

Viranomaisten yhteistyötä on tarkoitus lisätä tulevina vuosina luomalla viranomaisten yhteinen turvaluokiteltu rekisteri- ja tietojärjestelmä. Tällä tavoin NSA ja DSA:t ovat ajantasaisesti selvillä henkilöistä ja yrityksistä, joille turvallisuustodistus on annettu.

Kansainväliset velvoitteet halutaan tulevaisuudessa ottaa entistä paremmin huomioon. Valtionhallinnossa kehitetään parhaillaan ohjeistusta kansallisen luokitellun tiedon käsittelystä. Ohjeissa on tarkoitus ottaa huomioon myös kansainväliset velvoitteet. Myös kansainvälistä luokiteltua tietoa käsittelevien henkilöiden koulutusta halutaan kehittää.

-----

[KIRJOITTAJA ]

Ulkoasiainneuvos Ilkka Heiskanen toimii ulkoministeriössä kansallisessa turvallisuusviranomaisessa.

Lue myös

Tietoturva: Viestintävirastosta NCSA »
Tietoturva: Katvealue kuntoon »
Tietoturva: CERT-FI osa 24/7-toimintaa »
Tietoturva: Järjestelmien tietoturvaan ei oikoteitä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.