Tulostusversio

1/2013

Tietoturvallisuusasetuksen deadline lähestyy - oletko valmis?

Teksti: Kimmo Rousku

Lokakuussa 2010 iloittiin, kun pitkään valmisteltu tietoturvallisuusasetus astui voimaan. Organisaatiot aloittivat kehityshankkeita tavoitteenaan asetuksen edellyttämä tietoturvallisuuden perustaso.

Sellainen organisaatio, joka oli kehittänyt määrätietoisesti tietoturvallisuuttaan jo 2000-luvun alkupuolen ajan, havaitsi olevansa jo kohtalaisen lähellä perustasoa. Jos työ sen sijaan ei ole ollut järjestelmällistä, matkaa perustasoon on ollut ja tekemistä on varmasti riittänyt.

Järjestelmätasolla on vielä tavoiteltavaa

Kun katsotaan, kuinka tietoturvallisuuden ja tietojärjestelmien hallinnan vaatimukset ovat täyttyneet organisaatiotasolla (VAHTI 2/2010-ohjeen liite 5), valtionhallinnossa päästään tavoitteisiin lievin poikkeamin. Jos poikkeamia tulee, ne täytyy käsitellä VAHTI-ohjeen liitteessä 6 kuvatun korvaavan menettelyn mallin mukaisesti. Näyttää siis varsin hyvältä. 

Sen sijaan suurempi huolenaihe on vaatimusten toteuttaminen yksittäisten tietojärjestelmien tasolla. On mahdotonta arvioida, kuinka montaa tietojärjestelmää tietoturvallisuusasetus koskee, mutta niitä on joka tapauksessa tuhansia.

Muutokset järjestelmään seuraavassa kilpailutuksessa

Osa järjestelmistä on rakennettu vuosina ”miekka ja kilpi”, jolloin sanaa tietoturvallisuus ei välttämättä ole ymmärretty – puhumattakaan, että olisi tiedetty tulevista vaatimuksista. Sen aikainen vaatimusmäärittely, arkkitehtuuri ja sopimukset sekä näistä johdetut ratkaisut ja prosessit eivät välttämättä mahdollista perustietoturvatason saavuttamista. 

Kuten edellä, myös jäljelle jäävät tietojärjestelmätason poikkeamat tulee käsitellä VAHTI-ohjeen mukaisesti korvaavina menettelyinä. Yleensä ei ole kustannustehokasta toteuttaa muutoksia järjestelmään kesken sopimuskauden. Tällöin vaihtoehdoksi jää järjestelmän seuraava kilpailutus, jolloin järjestelmän tulee täyttää tietoturvallisuuden ja jatkuvuudenhallinnan vaatimukset.

Hyvän, hankinnoissa hyödynnettävän ja mukautettavan vaatimusmallin saa Valtion IT-palvelukeskuksen työkalupakista.

Luokituspäätöksiä puuttuu yhä

Valitettavasti kaikki organisaatiot eivät ole tehneet luokituspäätöstä. Selityksiä tälle on keksitty kiitettävästi.

Luokituspäätöksen tehneet organisaatiot jatkavat toiminnan kehittämistä tavoitteenaan korotettu tietoturvataso organisaatiokohtaisen viiden vuoden ylimenokauden aikana. Huomaa, että korotettua tietoturvatasoa edellytetään vain niiltä organisaation hallintatoiminnoilta ja tietojärjestelmiltä, jotka on luokiteltu korotettua tasoa vaativiksi.

Työ jatkuu! 

Nyt, kun valtionhallinnossa saavutetaan organisaatiotasolla perustaso ja tietoturvallisuus on saatu jalkautettua osaksi toimintaa, tehdyn mittavan työn tulokset eivät saa rappeutua, vaan perustason säilyttäminen edellyttää ylläpitoa. Käytä tässä apuna tietoturvallisuuden vuosikelloa.

Samalla ylläpito ja muu tietoturvallisuuden kehittäminen edistävät kyberturvallisuusstrategian tavoitteita, koska kaikki normaali tietoturvallisuutta ja jatkuvuudenhallintaa kehittävä työ pienentää myös kyberuhkaa.

---

[KIRJOITTAJA]

Apulaisjohtaja Kimmo Rousku työskentelee Valtiokonttorissa toimivan Valtion IT-palvelukeskuksen Tietoturvapalvelut-yksikössä.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.