Tulostusversio

2/2012

Laatua tietojärjestelmiin: Arviointi lisää turvaa

Teksti: Marianne Saine

Uudet lait kehittävät yritysten ja viranomaisten tietoturvallisuuden arviointijärjestelmiä.

Kesäkuun alussa astuvat voimaan laki yritysten tietoturvallisuusvaatimusten arviointilaitoksista ja laki viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista.

Lainsäädännöllä on nyt luotu järjestelmä, jonka avulla yritykset voivat saada tietoturvallisuutensa tasosta riippumattoman arvioinnin ja valmistautua yritysturvallisuusselvityksiin. Tätä tarvitaan esimerkiksi kansainvälisissä hankintakilpailuissa.

Viranomaisten tietojärjestelmien arviointi puolestaan parantaa hallinnon tietoturvaa ylipäätään. Arvioinnin avulla viranomaiset voivat todistaa oman tietoturvansa tason esimerkiksi kansainvälistä yhteistyötä varten.

Viestintäviraston NCSA-FI-yksikkö toteuttaa molempien lakien tuomia uusia tehtäviä. Tietosuoja-lehti kysyi NCSA-FI:n päälliköltä Rauli Paanaselta, mitä hyötyä uusista laeista on yrityksille ja viranomaisille.

Valtionhallinnon tietoturvavaatimukset koskevat luokiteltua tietoa. Mitä se on?

"Valtionhallinnon tietoturvallisuusasetus on ollut voimassa noin puolitoista vuotta. Tuolloin koko hallinnossa siirryttiin tiedon neliportaiseen luokitteluun. Ennen vanhaan puhuttiin esimerkiksi salaisesta tai ei-julkisesta tiedosta. Nykyään tiedot on luokiteltu asetuksen mukaisesti eri suojaustasoihin."

Paanasen mukaan viranomaisten on ollut vaikea omaksua muutosta, ja koulutusta tarvitaan vielä.

"Usein viranomainen katsoo luokittelua vain omasta näkökulmastaan. Asetuksen tavoitteena kuitenkin oli, että hallinnon tieto luokitellaan samalla tavalla joka paikassa."

Yhteismitallinen luokittelu luo tietojärjestelmille yhteismitallisen suojausjärjestelmän. Tämä johtaa siihen, että myös tekniset suojaukset mitoitetaan oikein ja hukkainvestointeja tai suojauksen ylilyöntejä tapahtuu vähemmän.

"Luokiteltu tieto on suojattava riittävällä tavalla, ja siksi tehdään järjestelmätarkastuksia."

Mikä NCSA-FI:n työssä muuttuu ja mikä pysyy?

"Yksikkömme tekee edelleen esimerkiksi kansainvälisiin tarjouskilpailuihin osallistuvien suomalaisyritysten tietojärjestelmien arviointia. Kyse on sellaisista tarjouskilpailuista, joihin osallistuvilta yrityksiltä vaaditaan yhteisöturvallisuusselvitystä ja siihen liittyvää kansallisen turvallisuusviranomaisen todistusta. Näihin selvityksiin teemme tarkastukset. Lisäksi tulevat arviointilaitosten ja valtionhallinnon tietojärjestelmien arviointi ja hyväksyntä."

"Suomessa ei ole aiemmin ollut viranomaisen hyväksymiä tietoturvallisuuden arviointilaitoksia", Paananen sanoo.

"Uusi toiminto vaikuttaa merkittävästi yksikön toimintaan, mutta valmiina ollaan. Uutta henkilöstöä on rekrytoitu, pelisäännöt ja hyväksymisprosessit ovat kunnossa."

"NCSA-FI on luonnollisesti edelleenkin riippumaton tarkastusyksikkö, emme ole konsulttiorganisaatio. Kaikilla EU-mailla on vastaava toimielin."

Lisääntyykö tietojärjestelmien auditointi?

"Lisääntyy ehdottomasti. Yksikkömme on tehnyt kymmenen hengen voimin kaikkiaan noin 60–70 tarkastusta. Uusien lakien jälkeen niitä tulee tehtäväksi yhteensä satoja. Arviointilaitoslaki säädettiin, koska nähtiin, ettei viranomaisten määrää ole järkevää jatkuvasti kasvattaa.”

Lain myötä auditointeja tekevät NCSA-FI:n lisäksi sen hyväksymät arviointilaitokset.

Mitä hyötyä tarkastuksesta on yritykselle?

"Yrityksen on paljon helpompaa tehdä bisnestä viranomaisen kanssa, kun viranomainen voi luottaa yrityksen tietojen suojaukseen ja siihen, että suojauksissa toimitaan lainsäädännön mukaan."

"Ajatellaan vaikka yritystä, joka haluaa tehdä bisnestä kotimaisen tai ulkomaisen viranomaisen kanssa. Silloin niiden välillä liikkuu luokiteltua tietoa, johon kohdistuu turvallisuusvaatimuksia. Viranomaisella pitää olla jo etukäteen varmuus siitä, että yritys suojaa luokiteltuja tietoja oikein.”

Miten yrityksen tarkastus tehdään?

”Yritys voi tehdä tarkastuspyynnön joko meille tai hyväksytylle arviointilaitokselle."

"Ensimmäinen selvitettävä asia on se, minkälaisia tietoja yrityksessä on, miten ne on luokiteltu, ja ovatko ne ylipäätään luokiteltu. Sitten tarkistetaan tietojärjestelmän vaatimustaso suhteessa siihen, minkä tason tietoja järjestelmässä on."

Löytyykö yritystarkastuksissa tyypillisiä virheitä?

"Yleisin korjattava asia on se, ettei tietoja ole osattu luokitella oikein − ei ole tunnistettu kohteita, joita pitää suojata. Tämän korjaaminen voi tarkoittaa merkittäviäkin kustannuksia, jos suojaustaso on liian matala.”

Rahaa menee hukkaan myös silloin, jos on tehty turhia investointeja tietojen ylisuojaamisen vuoksi.

”Aina yrityksestä ei myöskään löydy henkilöstöä, jonka tehtäviin kuuluu omistaa tämä tieto ja sen suojaamisjärjestelmät."

Onko viranomaisten tietojärjestelmien arviointi pakollista?

"Arviointi perustuu aina pyyntöön, eli se on vapaaehtoista. Asiakas päättää myös, mitä arvioidaan. Arviointia tehdään siellä, missä suojaustasoihin kuuluva tieto sijaitsee." 

Valtionhallinnossa pyritään nykyisin keskittämään järjestelmiä, joten jokaisella viranomaisella ei tarvitse olla omia. Sellaisia järjestelmiä, joissa liikkuu vain julkista tietoa, ei tarvitse tarkastaa.

"Uudessa laissa on tosin myös pykälä, jonka mukaan valtiovarainministeriö voi pyytää meiltä selvityksiä tietoturvallisuudesta annettujen säännösten toteutumisesta nimeämässään kohteessa. Jos ministeriö katsoo, ettei viranomaisilta tule tarpeeksi tarkastuspyyntöjä, se voi teettää lisäselvityksiä säännösten täytäntöönpanon tasosta."

Millaisia vaatimuksia arviointilaitoksille asetetaan?

"Vaatimukset arviointilaitoksen hyväksymiselle ovat varsin mittavat. Arviointi tehdään yhteistyössä kansallisen akkreditointielimen FINASin kanssa. FINAS tutkii muun muassa yrityksen toiminnallista ja taloudellista riippumattomuutta."

Laitokselle asetettavat vaatimukset on annettu arviointilaitoslaissa. NCSA-FI:n tekemään arviointiin liittyy myös yritysturvallisuusselvitys ja arviointityötä tekevien henkilöiden taustojen selvittäminen yhteistyössä Suojelupoliisin kanssa. Arviointilaitoksen pitää myös noudattaa hallinto- ja julkisuuslakeja.

"Arviointilaitoksia ei siis hyväksytä kumileimasimena. Arviointiin kuuluu myös laitoksen toiminnan jatkuva seuranta. Joitakin hyväksytyn laitoksen arviointeja tullaan myös seuraamaan, jotta varmistutaan niiden tasosta. "

Syntyykö Suomeen nyt arviointilaitosten suma?

"Niitä ei tulle kovin monta, lakivalmistelussa lukumääräksi arvioitiin viisi.”

Paanasen mukaan tietoturvayritysten tekemä konsultointityö sotii arviointilaitoksilta edellytettävää riippumattomuutta vastaan:

”Samat ihmiset eivät voi yhtäältä konsultoida ja toisaalta tehdä tarkastusta. Jos yritys haluaa arviointilaitokseksi, sen on yleensä palkattava lisähenkilöstöä ja sen myötä laajentaa toimitilojakin. Joissakin tapauksissa yrityksen sisälle pitäisi perustaa toinen yritys, joka olisi puhtaasti riippumaton arviointilaitos. Pieni yritys ei tähän hevin pysty."

---

Vähintään 50 000 äänioikeutetulla Suomen kansalaisella on maaliskuusta lähtien ollut oikeus tehdä eduskunnalle aloite jonkin lain säätämiseksi.

Aloitetta tukevat kannatusilmoitukset voidaan kerätä myös verkossa, ja silloin Viestintäviraston NCSA-FI-yksikön vastuulla on tarkastaa ja hyväksyä tietojärjestelmä, jossa aloitteet laaditaan ja johon kannatusilmoitukset kerätään.

Lue myös

Laatua tietojärjestelmiin: Tietotilinpäätös tueksi »
Laatua tietojärjestelmiin: "Ei raporttia raportoinnin vuoksi" »
Laatua tietojärjestelmiin: Yhteentoimivuus parantaa laatua »
Laatua tietojärjestelmiin: Standardi on direktiivin linjoilla »
Laatua tietojärjestelmiin: Standardi pähkinänkuoressa »
Laatua tietojärjestelmiin: Uudistus lisää yhteistyötä »
Hyvät käytännöt: Tietotilinpäätös »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.