Tietoturvallisuuden vähimmäisvaatimukset: Tiedon kerääminen tietoturvallisuuden tilasta (VAHTI 6.01)

Lausunnolla

Tiedonhallintalaki x§: Tietoturvallisuuden vähimmäisvaatimusten toteuttamiseksi viranomaisen on huolehdittava siitä, että tietoturvallisuuden tilasta, kuten tietoturvallisuusuhkista ja -poikkeamista kerätään tietoa tietoturvallisuuden tilannetietoisuuden muodostamista, tietoturvallisuuden häiriötilanteiden hallintaa sekä tietoturvallisuuden kehittämistä varten

 Ehdotetun 6 §:n 1 momentin 1 kohdan mukaan viranomaisen olisi kerättävä tietoa tietoturvallisuuden tilasta, kuten tietoturvallisuusuhkista ja –poikkeamista, tietoturvallisuuden tilannekuvan muodostamista, häiriötilanteiden hallintaa ja tietoturvallisuuden kehittämistä varten.

Tilannekuvan muodostaminen on keskeinen osa häiriötilanteiden hallintaa ja tietoturvallisuuden kehittämistoimien määrittelyä.

Viranomaisen tulee ylläpitää riittävän kattavaa tilannekuvaa tietoturvallisuuden tilasta arvioimalla aktiivisesti tietoturvallisuusuhkia ja tietoturvallisuutta vaarantavia riskejä sekä seuraamalla mahdollisia tietoturvallisuuspoikkeamia sekä niiden vaikuttavuutta. Uhkien, riskien ja poikkeamien seurannan ja analysoinnin avulla on kehitettävä tietoturvallisuustoimenpiteitä, päivitettävä ohjeita ja huolehdittava henkilöstön ajantasaisesta ja kattavasta tietoturvallisuusosaamisesta.

Käytännön esimerkki (yleisesimerkki):

Virasto on tehnyt uhka-/riskiarvioinnin ja todennut, että tietojen saatavuus on eniten uhattuna, koska on olemassa vain yksi ainoa tietoliikenneyhteys ja sekin on suorituskyvyltään heikko. Lisäksi virasto on havainnut kirjaamistaan tietoturvapoikkeamista, että asiakirjojen ja niissä olevien tietojen eheys on tiettyjen julkisten asiakirjojen osalta vaarantunut ja rikkoontunut useita kertoja, koska käyttäjät ovat muuttaneet hallitsemattomasti ja/tai tietämättömyyttään niitä. Tällöin virasto on ensinnäkin ollut tietoinen uhkista ja toiseksi päättänyt toteuttaa toimet asioiden parantamiseksi eli hankkia enemmän kaistaa ja myös varayhteyden sekä päättänyt sijoitella muuttamiselta suojattavat asiakirjat tietoineen ympäristöön, jossa muuttaminen tapahtuu vain perustellusti asiaan valtuutettujen/oikeutettujen toimesta. Lisäksi virasto on laajentanut pääsynvalvonnan ja muutostoimien lokitusta ja rajannut lokien muutosoikeuksia – sekä luonnollisestikin virasto edelleen jatkaa aktiivisesti ja säännöllisesti määräajoin sekä lisäksi aina isojen muutosten yhteydessä toteutettavaa riski- ja uhka-arviointia ja kannustaa koko henkilöstöä tietoturvapoikkeamien kirjaamisiin ja ilmoittamisiin. 

Kortin tiedot
Nimi Tietoturvallisuuden vähimmäisvaatimukset: Tiedon kerääminen tietoturvallisuuden tilasta
Yksilöivä tunniste 6.01
Julkaisupäivä 26.05.2017
Voimaantulopäivä 12.05.2017
Voimassaolon päättymispäivä Voimassa toistaiseksi
Omistaja Valtiovarainministeriö
Lisätietoa antava viranomainen Valtiovarainministeriö
Kumottavat tai muutettavat aikaisemmat kortit
Muita tietoja