Tulostusversio

1/2011

Hallinto: Virastot jo pitkällä asetuksen soveltamisessa

Teksti: Kirsi Castrén

Salassa pidettävien aineistojen käsittely virastoissa sujuvoituu ja tietojen suojaus lujittuu, kun valtionhallinnon uusi tietoturva-asetus jalkautuu virkamiesten arkityöhön.

Lokakuun alussa astui voimaan valtion uusi tietoturvallisuusasetus, joka määrittelee virastoja sitovat perustietoturvatason vaatimukset. Asetuksella pyritään lujittamaan tietoturvaa ja yhtenäistämään menettelyt käsiteltäessä salassa pidettävää aineistoa.

Valtion tietoturvallisuuden kehittämistä ohjaava ja asetuksen valmistelua ohjannut Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI tekee joka vuosi ministeriöt ja virastot kattavan laajan tietoturvakyselyn. Tuoreimman kyselyn vastaukset viittaavat VAHTIn puheenjohtajan Mikael Kiviniemen mukaan siihen, että huomattava osa virastoista on jo ennen viime vuoden loppua saavuttanut tietoturvan perustason.

Asetusta edelsivät useat lausuntokierrokset, VAHTIn piirissä tehty yhteistyö ja vaikutusarviointi, joiden avulla monissa virastoissa asetusta alettiin toteuttaa jo ennen sen voimaantuloa.

Ripeä ehtii vielä hyvin mukaan

Vielä on silti virastoja, joissa vaatimukset eivät täyty.

"Asetukseen sisältyy perustietoturvatason osalta kolmen vuoden siirtymäaika, joten näillä virastoilla on aikaa laittaa asiat kuntoon, kunhan vain käärivät hihat riittävän nopeasti", Kiviniemi huomauttaa.

Siirtymäajan pituuteen vaikutti Kiviniemen mukaan muun muassa se, että julkisuuslain vaatimus hyvästä tiedonhallintatavasta on ollut voimassa yli kymmenen vuotta.

Asetuksen täytäntöönpanoa tukee ja tehostaa VAHTIn laajan ohjeaineiston lisäksi vuodet 2011-2015 kattava valtionhallinnon tietoturvallisuuden kehittämisohjelma.

"Hyvin tärkeää on, että virastossa vallitseva tietoturvatasojen mukainen toiminta kattaa tietoturvan kokonaisuuden hallinnan, tietojärjestelmät ja tietoverkot. Tärkeää on, että virastossa kehitetään kaikkia näitä osa-alueita ja niiden tietoturvallisuutta."

Neliportaiseen luokitukseen

Asetus muuttaa salassa pidettävien tietoaineistojen luokituksen kansainvälisen käytännön mukaisesti kolmiportaisesta neliportaiseksi. Asetus myös lisää muun muassa aineistojen teknisen suojaamisen vaatimuksia.

VAHTIn kyselyn alustavien tulosten perusteella Kiviniemi arvioi, että aineistojen luokituksessa saattaa olla virastoille enemmän haastetta kuin esimerkiksi perustietoturvatason aikaansaamisessa. 

"Luokituksiin ja käsittelyvaatimuksiin tulee asetuksesta velvoittavia toimintamalleja, joita ei aiemmin ole ollut. Toisaalta julkisuuslaki lähtee siitä, että viranomaisen tulee tuntea tietovarantonsa."

Kansallisten salassa pidettävien aineistojen luokittelu suojaustasoille on edelleen viranomaisen omassa harkinnassa. Kyselyn perusteella virastojen selkeä vähemmistö oli viime vuonna tehnyt päätöksen ryhtyä luokittelemaan kansallista aineistoa.

Oikeantasoista luokittelua

Eräs peruste harkita salassa pidettävän aineiston turvaluokitusta on viranomaisten välinen tietojenvaihto.

"Juuri tiedon siirtäminen eri toimijoiden kesken korostaa sitä, että yhteinen luokitus on tärkeä. Asetuksestahan seuraa, että luokitusmallin, jota kansallisissa aineistoissa voidaan jatkossa käyttää, on oltava sama kaikilla”, Kiviniemi muistuttaa.

"Tärkeää on myös, että aineistot luokitellaan oikeille tasoille − aineistoja ei tule yli- tai aliluokitella."

Uusi asetus ei vaikuta kansainvälisten tietoturvavelvoitteiden piirissä oleviin tietoaineistoihin. Ne on ollut pakko luokitella jo aiemmin säädösten ja kansainvälisten velvoitteiden perusteella.

Valtionhallinnon tietoturvallisuuden johtoryhmän VAHTIn ohjeet, luonnokset ja hankkeet >>

Lue myös

Hallinto: Asetus voi lisätä julkisen tiedon määrää »
Hallinto: Viestintävirasto on tyytyväinen asetukseen »
Hallinto: Pohjatyöstä etua asetuksen käyttöönotossa »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.