Tulostusversio

2/2015

Asiantuntijalta: Kolmas osapuoli apuna tietoturvan kehittämisessä

Teksti: Laura Kiviharju

Arviointilaitos auttaa selvittämään viranomaisen tai yrityksen tietoturvallisuuden tason.

Useilla toimialoilla on yrityksiä, jotka hoitavat vaatimustenmukaisuuden arviointitehtäviä ja joilla on siihen viranomaisen hyväksyntä. Vuonna 2012 voimaan tulleen lain avulla myös tietoturvallisuuden tasoa selvittävät yritykset voivat hankkia toiminnalleen viranomaishyväksynnän.

Hyväksytyksi tietoturvan arviointilaitokseksi hakeutuminen on yrityksille vapaaehtoista, mutta kiinnostusta lisännee se, että yhä useammassa erityissäännöksessä edellytetään hyväksytyn laitoksen suorittamaa tietoturvan tarkastusta. Ensimmäinen tietoturvallisuuden arviointilaitos sai toiminnalleen Viestintäviraston hyväksynnän viime vuoden lokakuussa. Kuluvan vuoden loppuun mennessä markkinoilla toiminee jo useampi hyväksytty laitos.

Arviointilaitos saa hyväksynnän pätevyysalueelle, joka määritetään sen mukaan, millaisten tietoturvallisuuden arviointiperusteiden tarkastamiseen laitos on pätevyytensä osoittanut. Hyväksytty laitos toimii pätevyyden selvittämisestä vastaavan FINAS-akkreditointipalvelun ja hyväksyntäviranomaisen eli Viestintäviraston valvonnassa.

Riippumattomuus on keskeinen vaatimus

Tietoturvallisuuden arviointilaitokseksi hakeutuvia yrityksiä koskevat vaatimukset ovat osin samanlaiset kuin muidenkin alojen laitoksilla: Toiminnan on oltava riippumatonta, henkilökunnalla tulee olla riittävä osaaminen, ja laitoksella on oltava tarvittavat välineet ja laitteet sekä oma ohjeistus toimintaa varten. Laitos vastaa lakisääteisistä tehtävistä ja hoitaa julkista hallintotehtävää. Siksi sen on noudatettava myös hallinto-, julkisuus- sekä kielilain säännöksiä.

Pätevyys todennetaan aina käytännössä, eli laitoksen on osoitettava osaamisensa todellista tilannetta vastaavassa näyttöauditoinnissa. Lisäksi hyväksymisprosessissa selvitetään vastuuhenkilöiden luotettavuus sekä laitoksen oman tietojenkäsittely-ympäristön turvallisuus.

Koska arviointilaitosten tarkoituksena on saada luotettava näkemys tietoturvavaatimusten täyttymisestä, ehkäpä keskeisin niitä koskeva vaatimus on riippumattomuus. Laitos voi vain rajoitetusti tarjota muita palveluja, ja esimerkiksi tietoturvakonsultointi on pääsääntöisesti kielletty.

Kun kyseessä on nimenomaan tietoturvallisuuden tason selvittäminen, on erityisesti palvelujen käyttäjien voitava luottaa siihen, että laitoksen luotettavuus on varmistettu sekä henkilötasolla että teknisen, hallinnollisen ja toimitilaturvallisuuden alueilla. Useimmissa toimeksiannoissa käsitellään asiakkaan luottamuksellista tietoa, joten laitoksen on kyettävä suojamaan tiedot asianmukaisesti.

Viranomaisten ja yritysten käyttöön

Arviointilaitosten palveluja voivat käyttää sekä viranomaiset että yritykset. Tietoturvallisuuteen liittyvät lakisääteiset vaatimukset koskevat erityisesti valtionhallinnon viranomaisia, kun ne käsittelevät julkisuuslain mukaan salassa pidettäviä tietoja. Laitoksen asiakkaita voivatkin tyypillisesti olla tällaisia tietoja (kuten turvallisuusluokiteltuja tietoja, salassa pidettäviä henkilötietoja tai liike- ja ammattisalaisuuksia) käsittelevät viranomaiset.

Viranomaiset hankkivat kuitenkin yhä enenevässä määrin tietojärjestelmä- ja muita ostopalveluita yrityksiltä tai ulkoistavat suurempia kokonaisuuksia yksityisille toimijoille. Kun näihin palveluihin tai toimintoihin liittyy salassa pidettävän tiedon käsittelyä, viranomainen varmistaa vaatimusten noudattamisen usein ulkopuolisen tahon tietoturvakartoituksella. Arviointilaitoksen asiakas voi siten olla yritys, joka osallistuu viranomaisen hankintakilpailuun tai toimii jo viranomaisen sopimuskumppanina.

Selvityksen kohteena voi olla tietoturvallisuuden hallintajärjestelmä. Silloin tarkastellaan erityisesti organisaation niitä hallinnollisia toimintaprosesseja ja menettelyjä, joilla varmistetaan suojattavien tietojen luottamuksellisuus, eheys ja saatavuus. Tarkasteltavana voi myös olla toimitilaturvallisuuden taso tai viranomaisen hankkiman tai jo käytössä olevan tietojärjestelmän tietoturvallisuus.

Laki voi vaatia hyväksytyn laitoksen tekemää tarkastusta

Vaikka laissa ei ole yleistä velvoitetta teettää tietoturva-arviointeja, niitä edellytetään useissa säädöksissä.

Kesäkuusta lähtien valtionhallinnon viranomaiset voivat käyttää tietojärjestelmiensä auditoinnissa ainoastaan Viestintäviraston tai sen hyväksymän laitoksen palveluja. Vaatimus perustuu viranomaisten tietojärjestelmien tietoturvallisuuden arviointia koskevaan lakiin. Sen tarkoituksena on varmistaa, että valtionhallinnossa tietojärjestelmät tarkastetaan yhtenäisillä menettelyillä.

Arviointilaitostoimintaa koskeva laki valmisteltiin osana vuodenvaihteessa voimaan tulleen turvallisuusselvityslain uudistusta. Laitosten on osaltaan tarkoitus auttaa yrityksiä niiden valmistautuessa viranomaisten tarjouskilpailuihin, joissa edellytetään yritysturvallisuusselvitystä. Yritys voikin jo ennakolta teettää hyväksytyllä laitoksella selvityksen tietoturvallisuutensa tasosta. Silloin varsinainen viranomaisen tekemä yritysturvallisuusselvitysmenettely etenee nopeammin.

Viime aikoina on tehty myös muita lakimuutoksia, joissa nimenomaisesti edellytetään ulkopuolisen tahon tietoturva-arviointia. Viime vuoden keväällä voimaan tuli sosiaali- ja terveydenhuollon asiakastietojen sähköistä käsittelyä koskevan lain muutos, jonka mukaan valtakunnalliset tietojärjestelmäpalvelut on tarkastettava ennen niiden käyttöönottoa. Tammikuussa voimaan tulleessa valtionhallinnon turvallisuusverkkotoimintaa koskevassa laissa puolestaan edellytetään turvallisuusverkon tietojärjestelmien tietoturva-arviointia kolmen vuoden siirtymäajan kuluessa. Kummankin lain mukaisia tarkastuksia voi suorittaa hyväksytty tietoturvallisuuden arviointilaitos.

-------------

[KIRJOITTAJA]

Laura Kiviharju työskentelee erityisasiantuntijana Viestintäviraston Kyberturvallisuuskeskuksessa.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.