Tulostusversio

3/2010

Profiili: NCSA-FI

Teksti: Rauli Paananen

Vuodenvaihteessa Viestintävirastossa aloittanut NCSA-FI-yksikkö toimii uutena lenkkinä kansainvälisiä tietoturvavelvoitteita täyttävässä, kevyessä ja hajautetussa organisaatiomallissa.

NCSA-FI on kansallinen tietoturvaviranomainen, joka toimii asiantuntijana turvaluokitellun aineiston sähköiseen tiedonsiirtoon ja -käsittelyyn liittyvissä turvallisuusasioissa. Se hoitaa näihin liittyviä, kansainvälisistä velvoitteista johtuvia tehtäviä.

NCSA-FI:n perustaminen juontaa juurensa Suomen rauhankumppanuuteen NATOn kanssa ja EU-jäsenyyteen. Yhteistyö on lisännyt Suomea kohtaan esitettyjä kansainvälisiä tietoturvavelvoitteita ja siten tehostanut niiden täyttämiseen liittyvää viranomaistoimintaa vuosi vuodelta.

Lain mukaan kansainvälisistä tietoturvavelvoitteista kokonaisvastuun kantaa kansallisena turvallisuusviranomaisena (NSA) toimiva ulkoministeriö. Se muun muassa ohjaa ja valvoo, että kansainväliset turvaluokitellut tietoaineistot suojataan ja niitä käsitellään asetettujen vaatimusten mukaisesti.

Kansallisen turvallisuusviranomaisen tueksi on nimetty kolme määrättyä turvallisuusviranomaista (DSA); puolustusministeriö, suojelupoliisi ja puolustusvoimien pääesikunta.

NATO-yhteistyö edellytti, että Suomi nimeäisi teknisen tietoturvallisuuden yhteistoimintaviranomaisen. Turvallisuusviranomaiset nimesivät yhteisellä päätöksellään NCSA-viranomaiseksi Viestintäviraston.

Asema vakiinnutetaan lailla

Viestintävirasto aloitti tutustumisen NCSA:n toimintakenttään vuonna 2006. Samalla se kuitenkin ilmoitti, ettei pysty ottamaan vastaan kaikkia toimintaan liittyviä vastuita ennen kuin sillä on niiden hoitamiseen tarvittavat resurssit.

Resurssipulastaan huolimatta Viestintävirasto otti vuonna 2007 vastuuta muun muassa puolustusvoimien tietojärjestelmien hyväksymisestä vaaditulle turvallisuustasolle. Viestintäviraston toimia tarvittiin myös EU:n puolustusmateriaaliyhteistyössä, kun ohjelmistoradiohankkeen kehitystyö vaati hyväksyvää viranomaistahoa.

Vuonna 2008 Viestintäviraston vastuut kirjattiin Suomen ja euroooppalaisen puolustusmateriaalijärjestön OCCARin väliseen valtiosopimukseen. Sopimuksen voimaantulosta lähtien Viestintävirasto on edustanut hankkeessa Suomen turvallisuusviranomaiskenttää, mikä vaatii runsaasti teknistä erityisosaamista.

Viestintäviraston NCSA-aseman vakiinnuttaminen on yksi syy siihen, että lakia kansainvälisistä tietoturvallisuusvelvoitteista uudistetaan. Lainmuutos on parhaillaan eduskunnan käsiteltävänä. Muutospaineita on aiheuttanut myös EU:n neuvoston päätös turvallisuussäännöistä EU:n turvaluokiteltujen tietojen suojaamiseksi. Jäsenmaita sitovassa päätöksessä luetellaan useita NCSA:n alaan kuuluvia kansallisia vastuita.

Viranomaisten työnjakoa punnitaan

NCSA-FI:n toiminta jakautuu nyt viiteen tehtäväkokonaisuuteen, joista jokaiseen kuuluu keskeisesti yhteistyö kansainvälisten ja kansallisten turvallisuustoimijoiden kanssa.

Yleiset tehtävät koostuvat vastuualueen asiakokonaisuuksien kansallisesta ohjeistamisesta ja toimimisesta asiantuntijana kansainvälisissä kokouksissa. Lisäksi yksikkö johtaa kansallista EU-tietoturvaryhmää ja valmistelee ohjeistusta kansainvälisen turvaluokitellun tietoaineiston käsittelystä Suomessa.

Yksikkö on kansallisen turvallisuusviranomaisen pyynnöstä ottanut vastuun Suomen turvallisuusviranomaisten työnjaon ja yhteistyön kehittämisestä. Tavoitteena käyttää pieniä resursseja tehokkaammin ja selkeyttää vastuunjakoa.

Tietojärjestelmien hyväksyntä työllistää nyt eniten

Tällä hetkellä työllistävin tehtäväkokonaisuus liittyy tietotekniset turvallisuusjärjestelyt hyväksyvän viranomaisen tehtäviin. Tässä ominaisuudessaan yksikkö vastaa kansainvälistä turvaluokiteltua tietoa käsittelevien tietojärjestelmien hyväksynnästä.

Hyväksyntämenettelyn piiriin kuuluvat kansainvälisten tietoturvavelvoitteiden täyttämiseen liittyvät valtionhallinnon tietojärjestelmät. Menettelyyn kuuluvat myös sellaiset kansainvälisiin tarjouskilpailuihin osallistuvien yritysten järjestelmät, jotka vaativat kansallisen tietoturvaviranomaisen hyväksyntää. Eri toimipisteissä tehtävät tarkastukset suoritetaan yhteistyössä määrättyjen turvallisuusviranomaisten, erityisesti suojelupoliisin, kanssa.

NCSA-FI:n hyväksyntä järjestelmälle on voimassa kaksi vuotta. Kyse ei siis ole kertaluontoisesta hyväksynnästä, vaan hyväksytyt järjestelmät jäävät yksikön pysyvän "valvonnan" ja hyväksyntäprosessin piiriin. On oletettavaa, että jatkuvien hyväksyntäprosessien lukumäärä tulee muun muassa EU:n neuvoston päätöksen ratifioinnin jälkeen koskemaan 40–50 järjestelmää.

Salaustuotteiden hyväksynnästä etua yrityksille

NCSA-FI toimii myös salaustuotteiden hyväksyntäviranomaisena. Se vastaa siitä, että turvaluokitellun tiedon suojaamiseksi valitut tuotteet ovat salausteknisesti riittävän turvallisia käyttötarkoitukseensa nähden. Tämä koskee niitä salaustuotteita, joita käytetään siirrettäessä EU:n turvaluokiteltua tietoa jäsenmaan sisällä.

Tällä tehtäväkokonaisuudella pyritään myös tukemaan salausratkaisuja valmistavia suomalaisia yrityksiä. Tähän asti ne eivät ole voineet saada viranomaisen hyväksyntää salaustuotteilleen, koska sen voi myöntää vain kansallinen NCSA-viranomainen, jota ei aiemmin Suomessa virallisesti ollut.

NCSA-FI voi oman hyväksytyn evaluointinsa jälkeen hakea EU-tasoista hyväksyntää tuotteelle. EU-tason hyväksyntä on edellytys sille, että toinen jäsenmaa voi ostaa ja käyttää suomalaista salaustuotetta turvaluokiteltujen EU-tietojen suojaamiseen.

Salaustuotteiden hyväksyntäviranomaisen ohella yksikkö on kansallisen salausteknisen aineiston yhteysviranomainen. Se ohjeistaa kansainvälisissä yhteyksissä käytetyn salausteknisen aineiston jakeluverkkoon, turvalliseen säilytykseen ja kirjanpitoon liittyvissä asioissa. NCSA-FI myös hallinnoi jakeluverkkoa yhteistyössä muiden turvallisuusviranomaisten kanssa.

Yksikön tehtävistä vähäisimmälle huomiolle ovat tällä hetkellä jääneet jäsenyydet arvostetun Common Criteria -tietoturvastandardin kahdessa hallintokomiteassa. Suomessa standardin mukaisten testien toteuttaminen ei ole mahdollista, mutta jäsenyytensä perusteella NCSA-FI voi antaa kansallisen Common Criteria -sertifioinnin tuotteelle, joka on läpäissyt testit jossakin toisessa maassa. Nämä merkittävät jäsenyydet jäävät nyt hyödyntämättä, koska nykyisillä resursseillaan NCSA-FI ei pysty toimimaan aktiivisesti kummassakaan yhteisössä.

Toiminnasta kaupallistakin hyötyä

NCSA-FI:n toiminta on saatu tehokkaasti käyntiin. Yksikössä työskentelee nyt muutama henkilö, mutta tarkoituksena on, että vuoden 2013 lopussa työntekijöitä olisi kymmenen.

Työntekijöiden määrän lisäämisellä pystyttäisiin täyttämään toiveet viranomaisten tuesta kotimaisille yrityksille. Kansallisen turvallisuusviranomaisen yhteistyöryhmässä esitetyn arvion mukaan menetettyjen kauppojen kokonaisarvo liikkuu varovaisestikin arvioiden useissa kymmenissä miljoonissa euroissa. Kansallisen tietoliikenteen ja tietojärjestelmien tietoturvaviranomaisen tehtävien järjestämisellä voidaan siten arvioida olevan myös merkittävä kaupallinen ja vientiteollinen intressi, viranomaistoiminnasta puhumattakaan.

NCSA-FI Viestintäviraston nettisivuilla >>

 

Pieni lyhennesanasto

  • Kansallinen turvallisuusviranomainen (NSA, National Security Authority)
  • Määrätty turvallisuusviranomainen (DSA, Designated Security Authority)
  • Kansallinen tietoturvaviranomainen (NCSA, National Communications Security Authority)
  • Tietotekniset turvallisuusjärjestelyt hyväksyvä viranomainen (SAA, Security Accreditation Authority)
  • Salaustuotteiden hyväksyntäviranomainen (CAA, Crypto Approval Authority)
  • Salausteknisen aineiston jakelusta vastaava viranomainen (CDA, Crypto Distribution Authority, joissain yhteyksissä NDA National Distribution Authority)

---

[KIRJOITTAJA]

Rauli Paananen on Viestintäviraston NCSA-FI-yksikön päällikkö.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.