Tietoturvakriteeristö-työvälinehanke
VM047:20/2007 Development
Nyt käynnistettävällä hankkeella ja sen yhteydessä kehitettävällä työvälineellä sovitetaan yhteen ja parannetaan tietoturvatasojen vaatimusten ja KATAKRI-auditointikriteeristön käytettävyyttä niissä organisaatioissa, jotka joutuvat ottamaan huomioon molemmat vaatimuskriteerit suunnitellessaan ja toteuttaessaan suojattavien kohteiden turvallisuutta.
Basic information Completed
Project number VM047:20/2007
Case numbers 1642/00.01.00.01/2012
Set by Ministry of Finance
Term/schedule 1.10.2012 – 30.6.2013
Date of appointment 1.10.2012
Goals and results
Hankkeelle asetetaan seuraavat tavoitteet ja tehtävät:
1. Laatia selvitys tietoturvatasovaatimusten (TTT), KATAKRI-kriteeristön ja ICT-varautumisen vaatimusten välisistä eroista.
2. Tehdä esitys niistä näiden kriteeristöjen vaatimuksista, jotka suoraan vastaavat toisiaan tai ovat hyvin lähellä toisiaan, tai jotka jollain muulla tavalla voidaan hyväksyä yhtenäisiksi sekä hyväksyttää tämä yhteensovittaminen toimivaltaisilla viranomaisilla. Tässä yhteydessä työryhmä voi laatia ehdotuksen tietoturvatasojen vaatimusten tarkistamiseksi niiltä osin kuin yhteensovittamisen tai saatujen kokemusten perusteella on tarpeen.
3. Edellisten perusteella laatia työasematasolla toimiva työväline tai sovellus, jonka avulla organisaatio voi valita tarkastelunäkökulmaksi jonkin kriteeristön perus-, korotetun tai korkean tason ja tämän jälkeen tarkastella kyseisen ja muiden kriteeristöjen valittujen vaatimusten täyttymistä. Työvälineen pitää tukea myös ulkopuolisten toimijoiden tekemiä auditointeja sekä tuottaa havainnollisia raportteja vaatimusten täyttymisestä. Työvälineellä pitää pystyä tuottamaan tietoturvatasojen ja ICT-varautumisen mukaiset vaatimukset liitettäväksi hankinta-asiakirjoihin niissä hankinnoissa, joissa näitä vaatimuksia voidaan edellyttää.
4. Hankkeen tulee tehdä esitys jatkohankkeesta, jonka tehtävänä on suunnitella työvälineestä kehittyneempi versio, tai tuotettava tai kilpailutettava verkkopalvelu, joka mahdollistaa myös muiden vaatimuskriteereiden hallinnan (esim. ISO27001, EU- ja NATO-kriteeristöt, operaattorivaatimukset).
Starting points
Valtioneuvosto teki periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä 26.11.2009. Periaatepäätös linjaa valtionhallinnon tietoturvallisuuden kehittämisperiaatteet ja painopisteet sekä sisältää päätöksen valtionhallinnon tietoturvallisuuden kehittämisohjelman toteuttamisesta.
Valtionhallinnon tietoturvallisuusasetus on tärkeä osa periaatepäätöksen toimeenpanoa. Asetus tuli voimaan 1.10.2010. Sitä täydentävä VAHTI-ohje 2/2010 tarkentaa ja ohjeistaa yksityiskohtaisella tasolla tietoaineistojen käsittelyä sekä esittää yleiset linjaukset perus-, korotetun ja korkean tietoturvallisuuden tasosta koskien tietoturvallisuuden johtamista ja hallintaa sekä tietojärjestelmiä. VAHTI-ohje 3/2010 sisältää tietoturvatasojen linjaukset hallinnon sisäverkoille. Valtion virastojen on saavutettava linjausten mukainen tietoturvallisuuden perustaso viimeistään 30.9.2013.
Sisäisen turvallisuuden ohjelma II, toimenpide 6.4 tp 2, tuotti kansallisen turvallisuusauditointikriteeristön (KATAKRI), jonka sisäisen turvallisuuden ministeriryhmä hyväksyi 26.11.2009. Kriteeristön päivitetty II-versio julkaistiin elokuussa 2011. Kansallinen turvallisuusauditointikriteeristö (KATAKRI) toimii ohjaavana asiakirjanaa silloin, kun kansallinen turvallisuusviranomainen (NSA) varmentaa suomalaisten yritysten turvallisuustason kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi. Lisäksi KATAKRI toimii ohjeena niissä tietoliikennejärjestelyissä sekä tietojärjestelmissä joissa käsitellään kansainvälisesti luokiteltua materiaalia.
Valtiovarainministeriö antoi syyskuussa 2012 ohjeen ICT-varautumisen vaatimuksista (VAHTI 2/2012), jotka otetaan huomioon hankkeessa ja työvälineessä.
Setting-up and organisation
Tietoturvakriteeristö-työvälinehankkeen asettamispäätös PDF
1.10.2012 Valtiovarainministeriö
Developing and statute drafting in the Government
The ministries implement the Government Programme, draft acts and other statutes, and promote reforms through different kinds of projects, working groups and bodies. Information on all this is available on the Government website.
All ministries' projects are available on the Government website valtioneuvosto.fi/en/projects