Tulostusversio

3/2011

Hallinto: Perustaso jokaiselle

Teksti: Marjo Rautvuori

Useimmat valtion virastot saavuttavat tietoturvan perustason ilman merkittäviä lisäinvestointeja. Aikaa ja vaivaa se silti vaatii, joten valmistelu on syytä aloittaa viimeistään nyt.

Tietoturvallisuusasetus on ollut voimassa pian vuoden. Siinä edellytetään, että kaikki valtionhallinnon organisaatiot sekä niille palveluita toimeksiannosta tuottavat toimittajat ja alihankkijat saavuttavat tietoturvallisuuden perustason syyskuun loppuun 2013 mennessä.

Perustason saavuttamiseksi viraston on täytettävä kymmenen asetuksessa mainittua vaatimusta.

Asetuksessa määritetään myös salassa pidettävien tietojen suojaustasot ja turvallisuustasoluokat. Näin varmistetaan, että tietojen käsittelysäännöt ovat yhdenmukaisia kaikissa valtionhallinnon virastoissa. Kun virasto saavuttaa perustason, se voi julkisen tietoaineiston lisäksi käsitellä suojaustason IV eli rajoitetun käytön tietoaineistoa.

Systemaattinen dokumentointi on perustana

Valtiokonttorissa toimivan Valtion IT-palvelukeskuksen tietoturvapäällikkö Kimmo Rousku muistuttaa, että mikäli organisaatio on kehittänyt tietoturvallisuuttaan henkilötietolain edellyttämällä tavalla, se on joko saavuttanut tai saavuttaa pienellä lisätyöllä perustason.

"Perustasolla tulee kyetä määrittämään pääprosessit ja varmistamaan, että toiminta tapahtuu suunnitellulla tavalla."

Perustason saavuttamiseen ei useimmissa organisaatioissa tarvita kalliita lisäinvestointeja, koska valtaosa tehtävästä työstä on olemassa olevien menettelyjen ja dokumentaation kehittämistä, jalkauttamista ja koulutusta. Määrämuotoinen dokumentointi on kuitenkin työlästä, päivitystarve on jatkuva, ja henkilöstölle on tarjottava koulutusta.

Apua tarjolla

Jos organisaatio ei ole vielä aloittanut tietoturvatasoprojektia, nyt on Rouskun mielestä korkea aika. Hyvää apua saa Valtion IT-palvelukeskuksesta. Se toteuttaa valtionvarainministeriön julkisen hallinnon ICT-toimintayksikön toimeksiannosta kolme tietoturvallisuusasetuksen täytäntöönpanoa tukevaa yhteishanketta vuosina 2011-2013.

Jokainen hanke koostuu 18 työpajatilaisuudesta, joissa käydään läpi tietoturvatasokokonaisuus ja annetaan käytännön ohjeita ja valmiita mallipohjia, työkaluja ja hyviä käytäntöjä tietoturvatasojen saavuttamiseksi. Lisäksi valtiovarainministeriö kustantaa osallistuville virastoille neljän henkilötyöpäivän verran tietoturvakonsultointia.

Valtion IT-palvelukeskus tarjoaa valtionhallinnon organisaatioille myös tietoturvallisuuden työkalupakkia, joka sisältää materiaalia tarvittavista asiakirjoista ja hyvistä käytännöistä. Lisäksi pakissa on sähköinen henkilöstön tietoturvakoulutuspaketti tenttikysymyksineen. Syksyllä julkaistaan myös johdon verkkokoulutus ja erillinen kokonaisuus tietoaineistojen käsittelemisestä.

Neljä vaihetta

Valtion IT-palvelukeskuksesta voi myös vuokrata tietoturvapäällikön. Tietoturva-asiantuntijana ja yhtenä yhteishankkeiden vastuuhenkilönä toimiva Kirsi Nurmi esimerkiksi työskentelee oman työnsä lisäksi vuokralla viikoittain sekä valtiovarainministeriössä että ulkoministeriössä. Nurmen mukaan organisaatioilla on paljon yhteisiä hallinnonalasta riippumattomia tietoturvaelementtejä.

Nurmi sanoo, että tietoturvallisuuden kehittäminen voidaan jakaa neljään vaiheeseen. Ensin tunnistetaan tietoturvatarpeet ja -lähtökohdat:

”Näin saadaan alustava näkemys tarvittavan tietoturvallisuuden hallinnan kattavuudesta ja tietoa, jolla voidaan perustella tietoturvatyö muulle organisaatiolle ja johdolle.”

Toisessa vaiheessa kuvataan tärkeät toiminnot ja arvokas tieto-omaisuus.

”Suojattavien kohteiden rajaamisessa tulee olla huolellinen. Liian korkeasta tietoturvallisuudesta ei tule maksaa ylihintaa, toisaalta riman alituksia ei saa tapahtua”, Nurmi huomauttaa

Kolmannessa vaiheessa luodaan menettelyt riskienhallintaan ja häiriötilanteiden varalle.

Neljännessä ja viimeisessä vaiheessa luodaan tietoturvallisuuden hallintamenettelyt. Hallintajärjestelmän avulla organisaatio varmistaa, että tietoturvallisuutta kehitetään jatkuvasti.

Nurmi suosittelee myös tietoturvakäsikirjan laatimista, jotta tietoturvallisuuden hallinnan kokonaisuus saadaan yksiin kansiin.

”Tietoturvatasojen saavuttaminen ei ole yksittäinen projekti, vaan siitä pitää tulla normaaliin toimintaan integroitu jatkuva, säännöllinen kokonaisuus”, Nurmi toteaa.

Esimerkiksi palveluja kilpailuttaessa viraston pitää varmistaa, että palvelu täyttää tietoturvatason vaatimukset.


Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTIn ohje tietoturvallisuusasetuksen toimeenpanosta >>

Lisätietoa yhteishankkeista ja liittymiset Valtion IT-palvelukeskuksen työkalupakkiin: tietoturva.vip@valtiokonttori.fi.

Lue myös

Hallinto: Ota oppia muilta »
Hallinto: Julkinen tietohallinto yhtenäistyy »
Hallinto: Timo Valli aloitti ICT-johtajana »
Hallinto: Laki vahvistaa oikeushallinnon tietosuojaa »
Hallinto: Oikeushallinnossa edetty fiksusti »
Hallinto: Sosiaalihuollon tietosuojassa edistystä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.