Määritelmä: Tietoturvallisuus

Tiedonhallintalaki x§: Tietoturvallisuudella tarkoitetaan asiakirjojen ja niihin sisältyvien tietojen saatavuuden, eheyden ja luottamuksellisuuden varmistamista hallinnollisilla ja teknisillä toimenpiteillä (tietoturvallisuustoimenpide).


Tietoturvallisuus tarkoittaa tietojen saatavuuteen, eheyteen, luottamuksellisuuteen ja kiistämättömyyteen kohdistuvia toimia riippumatta tietojen olomuodosta.

Tietoturvallisuutta ja sen toteutumista kuvaavat keskeiset käsitteet ovat:

  • saatavuus
  • eheys
  • luottamuksellisuus
  • kiistämättömyys

Saatavuudella tarkoitetaan yhtäältä pääsyn sallimista tai rajoittamista tietoihin ja niiden käsittelyyn ja toisaalta tietojen saataville saamista määrittelevää aikaa. Tietojärjestelmien osalta saatavuuden ohella voidaan käyttää termiä käytettävyys, jolla tarkoitetaan haluttua tai sovittua palvelutasoa, joka yksinkertaisimmillaan tarkoittaa järjestelmän käytössä olemisen ja käytöstä pois olemisen tarkastelua. Tietoturvallisuudessa saatavuuden varmistamiseksi on erityisesti digitaalisissa palveluissa tehtävä riittävät toimet niin, että palveluiden ja niissä tarvittavien tietojen saatavuuden häiriöt eivät estä palveluiden tuottamista.

Eheydellä tarkoitetaan yhtäältä tietojen luotettavuutta ja toisaalta tietojen tarkoitetun sisällön muuttumattomuutta riippumatta tietojen olomuodosta, prosessointi-, käsittely- tai säilytystavasta tai säilytysajasta. Tietoturvallisuudessa eheyden varmistamiseksi on erityisesti digitaalisten tietojen ja digitaalisten tietojenkäsittelyjärjestelmien osalta tehtävä riittävät toimet, joilla tietojen ja niiden tietosisällön luotettavuus toteutuu.

Luottamuksellisuudella tarkoitetaan tietojen sisällöstä johtuvista syistä seuraavia tarpeita rajoittaa tietojen käsittelyä ja käsittelijöitä. Syyt voivat perustua säädöksiin tai muuhun erityiseen syyhyn, jonka vuoksi luottamuksellisiksi arvioituja tai päätettyjä tietoja tai osia tietosisällöstä ei tule julkaista tai muutoin luovuttaa eteenpäin ilman asianmukaista perustetta.

Kiistämättömyydellä tarkoitetaan tietojen käsittelyyn ja tietojärjestelmien käyttämiseen liittyvän osapuolen toimien yksilöitävyyttä. Yhtäältä tällä tarkoitetaan riittävää varmuutta tietojen käsittelijästä ja toisaalta voidaan varmistua riittävästi jonkin toimenpiteen tekemisestä.

Tietoturvallisuustoimenpiteillä tarkoitetaan kaikkia niitä toimia, joilla vaikutetaan yhden tai useamman tietoturvallisuutta kuvaavan asian toteutumista tai sille asetettavan tavoitteen saavuttamista. Saatavuus, eheys, luottamuksellisuus ja kiistämättömyys voivat painottua eri tilanteissa ja käyttötarkoituksissa huomattavasti. Joissakin tilanteissa tärkeintä on se, että tietoja – ovatpa ne oikein tai ei, olivatpa ne salassa pidettäviä tai ei, olivatpa ne keneen tahansa liittyviä – on oltava saatavilla. Joissakin tilanteissa puolestaan tietojen on oltava ehdottomasti oikein riippumatta siitä, milloin tietoja saa tai liittyykö niihin salassapitovelvoitteita tai voidaanko tietoja yhdistää kiistämättömästi johonkin tiettyyn henkilöön tai rooliin tai toimenpiteeseen. Joissakin tilanteissa voi olla välttämätöntä pitää tieto salassa – myös tietojen menettämisen uhalla – riippumatta muista tietoturvallisuustavoitteista. Erityisesti ongelmatilanteiden selvittelyissä on puolestaan useimmiten jo pelkkien lisätietojen ja tilannekuvan muodostamisen kannalta erittäin tärkeää tietää, että kuka teki ja mitä teki ja mitä hän yritti tehdä.

Tietoturvallisuustoimenpiteiden toteuttaminen on tehtävä suunnitellusti riskit kartoittaen, toiminnan jatkuvuuden varmistavasti sekä häiriötilanteista toipumisen varmistavasti. Erityisesti digitaalisessa muodossa oleviin tietoihin ja digitaalisiin tietojenkäsittelyjärjestelmiin liittyy riippuvuuksia, jotka voivat olla mahdollisuuksia tai uhkia tietojen turvallisen käsittelyn toteuttamisessa.

Artikkelin tiedot
Nimi Määritelmä: Tietoturvallisuus
Yksilöivä tunniste 2.1
Julkaisupäivä 12.05.2017
Voimassaolon päättymispäivä Voimassa toistaiseksi
Lisätietoa antava viranomainen Valtiovarainministeriö
Muita tietoja