Kaikkien korttien listaus

Kortit ovat listattu VAHTI-kortin tunnistenumeron mukaan.

Ehdotetun 3 §:n 1 momentissa säädettäisiin tietoturvallisuuden hallinnasta. Säännöksen mukaan viranomaisen olisi hyvän tiedonhallintatavan osana kaikessa toiminnassaan suunniteltava, toteutettava, seurattava ja jatkuvasti kehitettävä tietoturvallisuutta ja arvioitava tietoturvallisuustoimenpiteiden vaikuttavuutta.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 3 §:n 1 momentissa säädettäisiin tietoturvallisuuden hallinnasta. Säännöksen mukaan viranomaisen olisi hyvän tiedonhallintatavan osana kaikessa toiminnassaan suunniteltava, toteutettava, seurattava ja jatkuvasti kehitettävä tietoturvallisuutta ja arvioitava tietoturvallisuustoimenpiteiden vaikuttavuutta. Lisäksi ehdotetun 1 momentissa säädettäisiin viranomaisen johdon sitouttamisesta tietoturvallisuuden kehittämiseen. Säännöksen mukaan viranomaisen johdon olisi myös asetettava tietoturvallisuuden tavoitteet ja seurattava niiden toteutumista.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 3 pykälän 2 ja 3 momentissa määriteltäisiin riskienhallinta ja sen keinoin toteutettava tietoturvallisuus. Säännösten mukaan viranomaisen olisi suunnitelluin aikavälein sekä kun sen toiminnassa ja toimintaympäristössä tapahtuu merkittäviä muutoksia, tunnistettava, arvioitava ja käsiteltävä tietoturvallisuusriskit ja tapahtuneiden muutosten vaikutus niihin. Riskien kartoittamisessa ja arvioinnissa olisi otettava huomioon viranomaisen tehtävät ja toiminta, asiakirjojen merkitys ja käyttötarkoitus, asiakirjojen käsittelyyn liittyviin suojattaviin kohteisiin kohdistuvat uhkatekijät sekä tietoturvallisuustoimenpiteistä aiheutuvat kustannukset. . Riskien käsittelyllä tarkoitetaan [Neuvoston turvasäännöt liite A ’Riskin käsittely’ muodostuu riskin lieventämisestä, poistamisesta, vähentämisestä (yhdistämällä asianmukaisesti teknisiä, fyysisiä, organisatorisia tai menettelyyn liittyviä toimenpiteitä), siirtämisestä ja seurannasta.] Riskienhallinnassa tulisi esimerkiksi ottaa huomioon erilaiset tietojenkäsittely-ympäristöt mukaan lukien julkisen hallinnon digitaalisten palvelujen toteuttaminen, hankinnat yms. asetettaessa tietoturvallisuusvaatimuksia ja toteutettaessa tietoturvallisuustoimenpiteitä. Suojattavilla kohteilla tarkoitettaisiin kohteita, jotka ovat arvokkaita viranomaiselle ja joihin siten liittyy suojaamisintressi, myös tietoturvallisuuden näkökulmasta. Suojausintressi voi perustua esimerkiksi siihen, että toiminnan jatkuvuus, tehokkuus, laatu ja ongelmattomuus halutaan varmistaa. Suojattavia kohteita ovat esimerkiksi viranomaisen lakisääteisten tehtävien hoitamiseen liittyvät prosessit ja toiminnot sekä näissä tarvittavat tietojärjestelmät ja -aineistot. Muita tärkeitä suojattavia kohteita ovat mm. toimitilat ja tietotekniseen perusinfrastruktuuriin kuuluvat komponentit (esim. työasemat, palvelimet, verkon aktiivilaitteet ja kaapelointi sekä ulkoiset yhteydet). Henkilöstö on keskeinen suojattava kohde. Henkilöstöön liittyvät suojelu- ja turvallisuusnäkökohdat otetaan usein huomioon muissa, esimerkiksi henkilöstöhallintoon, esimiestoimintaan, työsuojeluun ja työturvallisuuteen liittyvissä menettelyissä ja suunnitelmissa. Tietoturvallisuusriskillä tarkoitettaisiin jonkinlaisen haitan tai vaurion todennäköisyyttä ja sen seurauksia. Tietoturvallisuusturvariskeillä tarkoitettaisiin sellaisia tahattomia tai tahallisia tekijöitä, jotka toteutuessaan vaarantaisivat viranomaisen toimintaan ja tiedonhallintaan liittyvien suojattavien kohteiden luottamuksellisuutta, eheyttä tai saatavuutta. Tietoturvallisuusriskin erottaa tietoturvallisuusuhasta sillä, että sen todennäköisyyttä ja vaikutuksia on arvioitu. Tietoturvallisuusriskit voivat aiheutua esimerkiksi inhimillisistä virheistä, varkauksista tai ilkivallasta, laitteiden, järjestelmien tai ohjelmistojen virheistä ja toimintahäiriöistä, haittaohjelmien leviämisestä, tietoaineistojen tuhoutumisesta, tulipalosta tai tulvasta, alihankkijan tai kumppanuusverkostoon kuuluvan toimijan virheistä. Riskienhallinta on prosessi, jonka tarkoitus on tunnistaa riskejä, vähentää niiden todennäköisyyttä ja/tai vaikutuksia hyväksyttävälle tasolle ja ylläpitää saavutettua tasoa. Riskien hallinnan tehtävänä on suojella organisaatiota ja sen kykyä suorittaa toimintojaan taloudelliset seikat huomioon ottaen. Riskienhallinnan vaatimuksilla pyritään varmistamaan, että viranomainen on tietoinen riskien mahdollisen toteutumisen aiheuttamista seurauksista ja siitä, ovatko riskiä pienentävät toimenpiteet riittäviä. Riskien hallinnan tavoitteena on muun muassa nopeuttaa tietoturvaongelmista toipumista, vähentää tietoturvaongelmista aiheutuneita kustannuksia ja vahinkoja, kohdentaa tietoturvallisuutta parantavia investointeja, parantaa tiedonhallinnan laatua ja tuottavuutta ja ennaltaehkäistä riskien toteutumista. Tietoturvallisuuteen liittyvä riskienhallinta on olennainen osa päätöksentekoa sekä taloudelliseen ja yhteiskunnalliseen toimintaan liittyvän riskienhallinnan yleistä viitekehystä. Se perustuu kokonaisvaltaisiin, systemaattisiin ja joustaviin prosesseihin, jotka ovat mahdollisimman avoimia ja yksiselitteisiä. Nämä prosessit auttavat varmistamaan, tietoturvallisuuteen kohdistuvien riskien hallinnassa käytettävät tietoturvallisuusturvatoimenpiteet ovat soveltuvia ja oikeasuhteisia riskiin sekä kyseessä oleviin taloudellisiin ja yhteiskunnallisiin tavoitteisiin nähden. Tietoturvallisuusriskien säännönmukaisessa riskienhallinnassa kartoittamisen on siis otettava huomioon myös viranomaisen toiminta ja tehtävät ja niihin kohdistuvat riskit. Eli kysymys on loppujen lopuksi riskienhallinnan kokonaisohjauksesta esimerkiksi siten kuin asiasta todetaan VM:n valtiovarain controller toiminnon 2.4.2009 antamassa muistiossa ”Viraston sisäinen valvonta ja riskienhallinta”.

Siirry korttiin

Johtaminen ja riskienhallinta
Tietoturvallisuutta koskevissa säännöksissä tarkoitetut tietoturvallisuustoimenpiteet olisi toteutettava riskien arvioinnin ja käsittelyn perusteella siten, että jäännösriski on viranomaisen johdon hyväksymä. Lisäksi viimeisen riskien käsittelykerran tulokset olisi säilytettävä. Vaatimuksella pyritään siihen, että vähintään riskienhallinnan edellisen käsittelykerran tulokset ovat hyödynnettävissä riskejä seuraavan kerran käsiteltäessä. Jäännösriskillä tarkoitetaan [Neuvoston turvasäännöt liite A: ’Jäännösriskillä’ tarkoitetaan riskiä, joka jää jäljelle, kun turvatoimet on toteutettu, ottaen huomioon, että kaikkia uhkia ei pystytä torjumaan eikä kaikkea haavoittuvuutta voida poistaa.]

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 3 §:n 4 momentin mukaan viranomaisen olisi kuvattava 2 ja 3 momentissa tarkoitetun riskienhallinnan käytännöt. Vaatimuksella pyritään siihen, että 2 ja 3 momentissa tarkoitetun riskienhallinnan toteuttaminen ja sen prosessit suunniteltaisiin viranomaisessa.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 4 §:n 1 momentin mukaan tietoturvallisuustoimenpiteet olisi suunniteltava ja toteutettava siten, että ne kattavat asiakirjan kaikki käsittelyvaiheet sekä eri turvallisuustilanteet sekä menettelytavat häiriötilanteiden hallitsemiseksi. Säännös vastaa alkuosaltaan tietoturvallisuusasetuksessa säädettyä. Säännökseen ehdotetaan lisättäväksi velvollisuus suunnitella ja toteuttaa tietoturvallisuustoimenpiteet siten, että ne kattavat eri turvallisuustilanteet. Käytännössä tällä tarkoitetaan varautumisnäkökulman huomioonottamista. Eri turvallisuustilanteilla tarkoitetaan normaalioloja, niiden häiriötilanteita ja valmiuslaissa tarkoitettuja poikkeusoloja. Säännökseen ehdotetaan myös velvoitetta suunnitella ja toteuttaa menettelytavat häiriötilanteiden hallitsemiseksi. Poikkeusolojen ja normaaliolojen häiriötilanteiden tietoturvallisuustoimenpiteitä suunniteltaessa on erityisesti tunnistettava viranomaisen ydintoiminnot ja niihin liittyvät tiedot ja suojattavat kohteet, joiden tietoturvallisuuden varmistaminen tulee priorisoida.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 4 §:n 2 momentin mukaan tietoturvallisuustoimenpiteiden suunnittelussa ja toteutuksessa olisi pidettävä huolta siitä, että tietojenkäsittelyä koskevia velvoitteita noudatetaan myös silloin, kun tietojenkäsittelytehtävää hoidetaan viranomaisen toimeksiannosta tai viranomainen antaa salassa pidettäviä tietoja sen lukuun suoritettavaa tehtävää varten tai muutoin. Viranomainen voi antaa salassa pidettäviä asiakirjoja muutoin esimerkiksi vahinkoedellytyslausekkeen perusteella tai jos tietojen luovuttamisesta on nimenomaisesti säädetty. Viranomaisen olisi tarkoituksenmukaisella tavalla sitoutettava sen alihankkijat sekä muut tahot, joille tietoja luovutetaan julkisuuslain 24 § 1 momentin kohtiin sisältyvien vahinkoedellytyslausekkeen rajoissa tai muutoin lain nojalla noudattamaan viranomaisille asetettuja tietoturvallisuusvelvoitteita. Viranomaisen on myös saatettava nämä velvoitteet tietojen vastaanottajan tietoon sekä tarvittaessa selvennettävä velvoitteiden sisältöä yhteistyössä alihankkijan tai tietojen muun vastaanottajan kanssa. Viranomaisen olisi myös varmistettava, että alihankkijat noudattavat tietoturvallisuusvelvoitteita. Alihankintatilanteiden osalta on huomattava, että julkisuuslain 5 § 2 momentin mukaan viranomaisen laatimana pidetään myös asiakirjaa, joka on laadittu viranomaisen antaman toimeksiannon johdosta.

Siirry korttiin

Johtaminen ja riskienhallinta

Siirry korttiin

Johtaminen ja riskienhallinta

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 6 §:n 1 momentin 1 kohdan mukaan viranomaisen olisi kerättävä tietoa tietoturvallisuuden tilasta, kuten tietoturvallisuusuhkista ja –poikkeamista, tietoturvallisuuden tilannekuvan muodostamista, häiriötilanteiden hallintaa ja tietoturvallisuuden kehittämistä varten.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 6 §:n 1 momentin 2 kohdan mukaan viranomaisen käytössä olisi oltava tarvittava asiantuntemus tietoturvallisuuden toteuttamiseksi ja tietoturvallisuuden hoitamista koskevat tehtävät ja vastuut tulisi määritellä. [Y] Säännös vastaa tietoturvallisuusasetuksessa säädettyä.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 6 §:n 1 momentin 3 kohdan mukaan henkilöstölle ja muille asiakirjojen käsittelyyn liittyviä tehtäviä hoitaville tulisi antaan ohjeet ja koulutusta asiakirjojen tietoturvallisesta käsittelystä ja henkilöstölle tulisi viestiä tietoturvallisuuden tavoitteet ja vastuut viranomaisessa. Ehdotettu velvoite pitäisi yhdessä ehdotetun 3 §:n 1 momentin kanssa sisällään sen, että ohjeiden ja koulutuksen sekä viestinnän ajantasaisuudesta huolehditaan.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 6 §:n 1 momentin 4 kohdan mukaan salassa pidettäviin asiakirjoihin ja asiakirjoihin, joiden käyttöä on muutoin rajoitettu, tulisi antaa pääsy vain niille, jotka tarvitsevat niihin sisältyviä tietoja työtehtäviensä hoitamiseksi. Vaatimus sisältää käyttöoikeushallinnan toteuttamisvaatimuksen. Viranomaisen olisi säännöksen nojalla myös pidettävä huolta, että se, joka ei enää toimi työtehtävissä, joihin edellisessä kohdassa tarkoitettu oikeus asiakirjojen käsittelyyn perustuu, palauttaa asiakirjat tai hävittää ne asianmukaisella tavalla.

Siirry korttiin

Johtaminen ja riskienhallinta

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 6 §:n 1 momentin 6 kohdan mukaan salassa pidettäviä asiakirjoja käsittelevien henkilöiden luotettavuus tulisi varmistaa tarvittaessa turvallisuusselvitysmenettelyn ja muiden lain perusteella käytettävissä olevien keinojen avulla. Ehdotettu säännös vastaa tietoturvallisuusasetuksessa säädettyä. Säännöstekstiä on lyhennetty siten, että siitä on poistettu maininta koskien henkilöstöä ja muita asiakirjojen käsittelyyn liittyviä tehtäviä esimerkiksi toimeksiannon perusteella hoitavia, koska nämäkin kuuluvat salassa pidettäviä asiakirjoja käsitteleviin henkilöihin.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 6 §:n 1 momentin 6 kohdan mukaan salassa pidettäviä asiakirjoja sisältävät tietojärjestelmät olisi tunnistettava ja tietojärjestelmät toteutettava siten, että julkiset tiedot ovat mahdollisimman hyvin erotettavissa salassa pidettävistä. Tietojärjestelmien sisältämien tietojen tunnistaminen palvelee hyvän tiedonhallintatavan ja julkisuusperiaatteen toteuttamista sekä tietoturvallisuustoimenpiteiden oikeasuhtaista mitoittamista.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 6 §:n 1 momentin 8 kohdan mukaan tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuus tulisi toteuttaa asianmukaisilla tietoturvallisuustoimenpiteillä. Säännös sisältää kaikkia asiakirjoja koskevan yleisen vaatimuksen tietojärjestelmien ja tietoliikennejärjestelyjen asianmukaisesta tietoturvallisuudesta huolehtimisesta. Lisäksi säännös pitää sisällään sen, että salassa pidettävien tietojen osalta on erityisesti kiinnitettävä huomiota tiedon luottamuksellisuduen suojaamiseen asianmukaisilla menetelmillä. Näitä vaatimuksia voidaan tarjentaa 5 §:n 3 momentin nojalla annettavalla asetuksella. Asianmukaiset järjestelyt voisivat olla erilaisia riippuen siitä, suojataanko vain eheyttä tai saatavuutta vai myös luottamuksellisuutta. Tietoturvallisuusjärjestelyillä tarkoitetaan esimerkiksi käyttöoikeushallintaa ja käytön valvontaa sekä esim. haavoittuvuuksienhallintaa ja salausmenetelmien käyttöä.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 6 §:n 1 momentin 9 kohdan mukaan keskeisissä salassa pidettäviä asiakirjoja sisältävissä tietojärjestelmissä tulisi tallentaa asiakirjojen käsittelyn tapahtumatiedot, ellei teknisistä, toiminnallisista tai kustannustehokkuuteen liittyvistä syistä ole välttämätöntä poiketa tallentamisesta. [S] Säännöksellä ei tarkoiteta asiakirjojen julkisuutta palvelevaa velvollisuutta kirjata asiat ja asiakirjat, vaan salassa pidettävien asiakirjojen käsittelyn seuraamista (ns. lokittamista).

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 6 §:n 1 momentin 10 kohdan mukaan salassa pidettävien asiakirjojen käsittely- ja säilytystilojen olisi oltava valvottuja ja suojattuja viranomaisen määrittelemässä laajuudessa. [S] [ns. hallinnollinen alue/valvottu alue] Huom: EU Neuvoston turvasäännöt: EU:n turvallisuusluokitellut tiedot, jotka kuuluvat RESTREINT UE/EU RESTRICTED -turvallisuusluokkaan, on säilytettävä soveltuvissa lukituissa toimistokalusteissa hallinnollisella alueella tai turva-alueella. Niitä voidaan tilapäisesti säilyttää turva-alueen tai hallinnollisen alueen ulkopuolella, jos tietojen haltija on sitoutunut noudattamaan toimivaltaisen turvallisuusviranomaisen turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä.

Siirry korttiin

Johtaminen ja riskienhallinta
Ehdotetun 6 §:n 2 momentin mukaan 1 momentissa säädetyt vähimmäisvaatimukset voitaisiin hallinnollisen tietoturvallisuuden osalta täyttää noudattamalla kansainvälisiä yleisesti tunnettuja tietoturvallisuuden hallinnan standardeja. Tällainen standardi on esimerkiksi ISO 27001. Hallinnolliseen tietoturvallisuuteen kuuluvat 1 momentissa säädetyt vaatimukset poislukien X ja X kohtien vaatimukset.

Siirry korttiin

Johtaminen ja riskienhallinta

Siirry korttiin

Johtaminen ja riskienhallinta
Tähän kirjataan säädöksestä vaatimusteksti sopivana kokonaisuutena. Merkittävin osa vaatimuksista tulee olemaan lauseen tai parin pituisia. Mikäli vaatimukseen liittyy eri tasoja esimerkiksi tiedon salassapidon mukaan, se merkitään erikseen.

Siirry korttiin

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed ultricies urna eget sapien scelerisque fringilla. Nunc non finibus tortor, nec gravida dui. Nullam venenatis urna a dui sollicitudin consequat. Phasellus tortor nibh, lobortis et sem nec, tincidunt elementum ante. Morbi vitae felis libero. Quisque hendrerit dui vitae elit mattis, eu ultricies quam tempus. Etiam commodo porta mauris, id rutrum risus aliquam in. Quisque auctor orci nec dignissim elementum. Phasellus ultrices quam ut sapien pretium ullamcorper. Mauris sed ipsum in orci sodales facilisis. Morbi ipsum nibh, condimentum eget sem ut, molestie condimentum quam. Nam venenatis a tellus vitae feugiat. Aliquam at sapien volutpat, hendrerit nibh ut, faucibus nibh.

Siirry korttiin