Tiedonhallintalautakunta on julkaissut uuden suosituksen tietoturvallisuuden vähimmäisvaatimuksista. Suositus sisältää tiedonhallintalaista tulevat vähimmäisvaatimukset, jotka kaikkien viranomaisten tulee vähintään täyttää. Vähimmäisvaatimuksia toteutetaan yleisillä tai yksityiskohtaisilla tietoturvallisuustoimenpiteillä. Yleisiä toimenpiteitä on esimerkiksi vastuiden määrittely ja riskien tunnistaminen sekä yksityiskohtainen vaatimus lokitietojen keräämisestä. Tiedonhallintalain vaatimusten lisäksi viranomaisten on tunnistettava ja täytettävä oman toimialansa erityissääntelystä tulevat vaatimukset.
Vähimmäissuosituksen sisältö ja suhde muihin lautakunnan tietoturvallisuussuosituksiin
Suositus on tarkoitettu ensisijaisesti tiedonhallintatalaissa määritellyille tiedonhallintayksiköille ja viranomaisille, mutta näiden lisäksi suositusta voivat hyödyntää kaikki toimijat, jotka käsittelevät viranomaisten asiakirjoja. Suositus vähimmäisvaatimuksista muodostaa perustan tiedonhallintalain tietoturvallisuusvaatimuksista. Tietoturvallisuutta koskevat suositukset muodostavat kokonaisuuden, jota täydentää muut Tiedonhallintalautakunnan suositukset, kuten Suositus johdon vastuiden toteuttamisesta.
Täsmentäviä tietoturvallisuuteen liittyviä suosituksia on laadittu salassa pidettävien ja turvallisuusluokiteltavien asiakirjojen käsittelystä. Tämän lisäksi Tiedonhallintalautakunta on julkaissut suositukset tietoturvallisuudesta hankinnoissa ja julkisen hallinnon tietoturvallisuuden arvioinnista (Julkri). Vähimmäisvaatimussuosituksessa viitataan muihin tietoturvallisuussuosituksiin ja erityisesti suositeltavien toimenpiteiden osalta Julkriin.
2) Suositus salassa pidettävien asiakirjojen käsittelystä (VM 2023:4)
3) Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä (VM 2021:5)
4) Turvallisuusluokiteltavaien asiakirjojen käsittely pilvipalveluissa (VM 2022:4)
5) Julkisen hallinnon tietoturvallisuuden arviointikriteeristö, Julkri (VM 2023:46)
6) Suositus tietoturvallisuudesta hankinnoissa (VM 2023:57)
Riittävätkö vähimmäisvaatimukset?
Perinteisen laatutekniikan määritelmän mukaan laatu on vaatimusten täyttämistä ja täyttymistä. Laadun aste on se, millä tuote tai tuote täyttää vaatimukset. (SFS 2016). Tietoturvallisuuden laatu sisältää kaikki ne omaisuudet ja toimenpiteet, joilla varmistetaan tietojen, tietojärjestelmien tai tietyn palvelun turvallisuus. Näitä ovat ne järjestelyt, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus – eli tiedon, tietojärjestelmien tai palvelun hyödynnettävyys, muuttumattomuus ja se, että tieto on vain sen käyttöön oikeutettujen käytettävissä, eikä se paljastu muille. Vähimmäisvaatimukset täyttämällä organisaatio voi saavuttaa tietyn tietoturvallisuuden laatutason. Usein kuitenkaan vähimmäistaso ei riitä, vaan riskiarvioinnin perusteella on valittava tarkoituksenmukaiset turvallisuustoimenpiteet.
Riskienhallinta on tärkein digitaalisen turvallisuuden prosessi
Riskienhallinta läpi leikkaa niin digitaalisen turvallisuuden kuin kokonaisturvallisuuden. Riskienhallinta on kokonaisuus, johon kuuluu riskien arviointi, tietoturvallisuustoimenpiteiden suunnittelu tunnistettujen riskien perusteella, jäännösriskien hyväksyminen sekä tietoturvallisuustoimenpiteiden toteuttaminen. Tiedonhallintalain vaatimuksena on olennaisten tietojenkäsittelyyn kohdistuvien riskien selvittäminen sekä tietoturvallisuustoimenpiteiden mitoittaminen riskiarvioinnin mukaisesti. Hyvällä ja jatkuvalla riskienhallinnalla varmistetaan niin asiakkaiden kuin henkilöstön, organisaation ja sidosryhmien turvallisuus, toiminnan jatkuvuus ja palautuminen sekä palveluiden ja toimintojen laatu. Riskienhallinnalla kehitetään koko organisaation resilienssiä, erityisesti nopeasti muuttuvassa digitaalisessa ympäristössä.
Digitaalinen turvallisuus jakaantuu viiteen osa-alueeseen:
- johtaminen ja riskienhallinta
- jatkuvuudenhallinta
- kyberturvallisuus
- tietosuoja
- tietoturva
Hyvällä kokonaisriskienhallinnalla
- lisätään toiminnan turvallisuutta
- tuetaan hankkeiden ja projektien onnistumista
- tuetaan tavoitteiden asettamista ja saavuttamista
- lisätään asiakastyytyväisyyttä ja -luottamusta
- lisätään henkilöstön, asiantuntijoiden ja johdon työtyytyväisyyttä sekä oikeusturvaa
- tuetaan työturvallisuutta ja työhyvinvointia.
Riskienhallinnan avulla organisaatio pystyy priorisoimaan ja kohdentamaan resurssit tehokkaasti ja tarkoituksenmukaisesti. Riskienhallinnalla oppii siis tuntemaan organisaation toiminnan, vahvuudet ja kehittämiskohteet.
Riskienhallinnan standardit ja uudet direktiivit
Riskienhallinnassa on suositeltavaa hyödyntää dokumentoitua ja ohjeistettua riskienhallintamenetelmää. Tällainen on mm. Riskienhallinta SFS-ISO 31000 -standardi. Sen avulla voidaan tunnistaa, arvioida ja käsitellä mahdollisia riskejä ja niiden vaikutuksia. Uutta lainsäädäntöä on tulossa sovellettavaksi myös tietyille kriittisille aloille. Tällainen on NIS2-kyberturvallisuusdirektiivi, eli EU:n laajuinen kyberturvallisuutta koskeva lainsäädäntö, jonka tavoitteena on yhtenäistää ja parantaa EU:n kyberturvallisuuden yleistä tasoa. Se käsittää toimenpiteitä, jotka sisältävät kyberturvallisuutta vahvistavia riskienhallinta- ja raportointivelvoitteita kyberturvallisuuden yhteisen korkean tason varmistamiseksi. Lisäksi yhteiskunnan kriittisten palveluiden häiriönsietokykyä, riskienhallintaa ja palautumista häiriöistä säännellään CER-direktiivillä.
Molemmat direktiivit ja niiden pohjalta tulossa olevat kansalliset lait kohdentuvat yhteiskunnan kriittisiin toimintoihin. Näiden ohella sääntely ulottuu myös kriittisten toimintojen toimitusketjuihin. Tästä todennäköinen seuraus on, että monen palveluntuottajan ja toimittajan tulee kehittää toimintaansa uudelle tasolle, joka täyttää sääntelyn vaatimukset. Vaikka oma organisaatio ei olisi NIS2 ja CER-sääntelyiden piirissä, on molemmissa sääntelyissä kuitenkin hyviä käytänteitä hyödynnettäväksi.
Loppusanat
Noudattamalla lainsäädännöstä tulevia vaatimuksia, yleisiä ja erityisiä, sekä hyödyntämällä suositusten ja ohjeistusten antamia hyviä käytäntöjä, voivat kaikki organisaatiot kehittää tietoturvallisuutta ja riskienhallintaa. Näin myös organisaation resursseja kohdennetaan asianmukaisesti ja siten parannetaan organisaation häiriönsietokykyä. Samalla paranee myös organisaation tietoturvallisuuden laatu.
Lue tietoturvallisuuden vähimmäisvaatimuksista ja muista Tiedonhallintalautakunnan suosituksista Tiedonhallintalautakunnan sivuilta. Sivuilla on myös tietoa tulevista webinaareista, ajankohtaisia aineistoja sekä mahdollisuus liittyä postituslistalle. Hyödynnä VAHTI-verkostoa ja siellä luotuja VAHTI-hyvät käytäntöjä tukimateriaaleja. Lisäksi DVV tarjoaa digiturvapalveluita organisaatioille, mm. webinaareja, harjoituksia sekä muita palvelukatalogista löytyviä palveluita.
Lähteet:
- Digi- ja väestötietovirasto, Digiturvapalvelut https://dvv.fi/digiturva
- Digi- ja väestötietovirasto, Palvelukatalogi. Palvelut digitaalisen turvallisuuden arkkitehtuurin mukaisesti – Digitaalisen turvallisuuden palvelukatalogi – DVV external Confluence
- Digi- ja väestötietovirasto, VAHTI-toiminta. https://dvv.fi/vahti
- SFS (2016) Mitä laatu on? Mitä laatu on? | SFS
- Sisäministeriö. Lainsäädäntöhanke: Kriittisen infrastruktuurin tunnistaminen ja kriisinkestävyyden parantaminen – Sisäministeriö (intermin.fi)
- Tiedonhallintalautakunta. Tiedonhallintalautakunta – Valtiovarainministeriö (vm.fi).
- Tiedonhallintalautakunnan suositus – Valtiovarainministeriö (2024:19). Suositus tietoturvallisuuden vähimmäisvaatimuksista. http://urn.fi/URN:ISBN:978-952-367-679-4
- Traficom. NIS2 – Euroopan unionin kyberturvallisuusdirektiivi | Kyberturvallisuuskeskus
Tuula Seppo (KTM, YTM), toimii johtavana asiantuntijana Digi- ja väestötietovirastossa ja on ollut tekemässä Tiedonhallintalautakunnan alaisen tietoturvallisuusjaoston sihteerinä vähimmäissuositusta sekä aikaisempia tietoturvallisuussuosituksia. Tuula on aktiivinen kouluttaja tiedonhallinnan, tietosuojan ja digitaalisen turvallisuuden osaalueilla. Hänellä on laaja kokemus myös kuntien tiedonhallinnasta ja toiminut mm. tietohallintopäällikkönä ja tietosuojavastaavana.
@tuula_seppo
Tapani Rinne toimii erityisasiantuntijana Digija väestötietovirastossa ja vastaa DVV:n ylläpitämistä digiturvan tietopalveluista sekä kehittää julkishallinnon digitaalisen turvallisuuden tilannekuvaa, riskienhallintaa ja tietosuojaa mm. VAHTI-verkostossa. Tapanilla on laaja kokemus kuntien tiedonhallinnasta ja digitaalisesta turvallisuudesta ja on toiminut mm. tiedonhallinta-asiantuntijana ja tietosuojavastaavana.