Tietoturvakriteeristö-työvälinehanke
VM047:20/2007 Kehittäminen
Ministeriöt toteuttavat hallitusohjelmaa, valmistelevat lakeja ja muita säädöksiä sekä vievät eteenpäin uudistuksia erilaisissa hankkeissa, työryhmissä ja toimielimissä.
Kaikkien ministeriöiden hankkeet löydät valtioneuvoston verkkosivuilta
Nyt käynnistettävällä hankkeella ja sen yhteydessä kehitettävällä työvälineellä sovitetaan yhteen ja parannetaan tietoturvatasojen vaatimusten ja KATAKRI-auditointikriteeristön käytettävyyttä niissä organisaatioissa, jotka joutuvat ottamaan huomioon molemmat vaatimuskriteerit suunnitellessaan ja toteuttaessaan suojattavien kohteiden turvallisuutta.
Hankkeen perustiedot Päättynyt
Hankenumero VM047:20/2007
Asianumerot 1642/00.01.00.01/2012
Asettaja valtiovarainministeriö
Toimikausi/aikataulu 1.10.2012 – 30.6.2013
Asettamispäivä 1.10.2012
Tavoitteet ja tuotokset
Hankkeelle asetetaan seuraavat tavoitteet ja tehtävät:
1. Laatia selvitys tietoturvatasovaatimusten (TTT), KATAKRI-kriteeristön ja ICT-varautumisen vaatimusten välisistä eroista.
2. Tehdä esitys niistä näiden kriteeristöjen vaatimuksista, jotka suoraan vastaavat toisiaan tai ovat hyvin lähellä toisiaan, tai jotka jollain muulla tavalla voidaan hyväksyä yhtenäisiksi sekä hyväksyttää tämä yhteensovittaminen toimivaltaisilla viranomaisilla. Tässä yhteydessä työryhmä voi laatia ehdotuksen tietoturvatasojen vaatimusten tarkistamiseksi niiltä osin kuin yhteensovittamisen tai saatujen kokemusten perusteella on tarpeen.
3. Edellisten perusteella laatia työasematasolla toimiva työväline tai sovellus, jonka avulla organisaatio voi valita tarkastelunäkökulmaksi jonkin kriteeristön perus-, korotetun tai korkean tason ja tämän jälkeen tarkastella kyseisen ja muiden kriteeristöjen valittujen vaatimusten täyttymistä. Työvälineen pitää tukea myös ulkopuolisten toimijoiden tekemiä auditointeja sekä tuottaa havainnollisia raportteja vaatimusten täyttymisestä. Työvälineellä pitää pystyä tuottamaan tietoturvatasojen ja ICT-varautumisen mukaiset vaatimukset liitettäväksi hankinta-asiakirjoihin niissä hankinnoissa, joissa näitä vaatimuksia voidaan edellyttää.
4. Hankkeen tulee tehdä esitys jatkohankkeesta, jonka tehtävänä on suunnitella työvälineestä kehittyneempi versio, tai tuotettava tai kilpailutettava verkkopalvelu, joka mahdollistaa myös muiden vaatimuskriteereiden hallinnan (esim. ISO27001, EU- ja NATO-kriteeristöt, operaattorivaatimukset).
Tiivistelmä
Nyt käynnistettävällä hankkeella ja sen yhteydessä kehitettävällä työvälineellä sovitetaan yhteen ja parannetaan tietoturvatasojen vaatimusten ja KATAKRI-auditointikriteeristön käytettävyyttä niissä organisaatioissa, jotka joutuvat ottamaan huomioon molemmat vaatimuskriteerit suunnitellessaan ja toteuttaessaan suojattavien kohteiden turvallisuutta.
Lähtökohdat
Valtioneuvosto teki periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä 26.11.2009. Periaatepäätös linjaa valtionhallinnon tietoturvallisuuden kehittämisperiaatteet ja painopisteet sekä sisältää päätöksen valtionhallinnon tietoturvallisuuden kehittämisohjelman toteuttamisesta.
Valtionhallinnon tietoturvallisuusasetus on tärkeä osa periaatepäätöksen toimeenpanoa. Asetus tuli voimaan 1.10.2010. Sitä täydentävä VAHTI-ohje 2/2010 tarkentaa ja ohjeistaa yksityiskohtaisella tasolla tietoaineistojen käsittelyä sekä esittää yleiset linjaukset perus-, korotetun ja korkean tietoturvallisuuden tasosta koskien tietoturvallisuuden johtamista ja hallintaa sekä tietojärjestelmiä. VAHTI-ohje 3/2010 sisältää tietoturvatasojen linjaukset hallinnon sisäverkoille. Valtion virastojen on saavutettava linjausten mukainen tietoturvallisuuden perustaso viimeistään 30.9.2013.
Sisäisen turvallisuuden ohjelma II, toimenpide 6.4 tp 2, tuotti kansallisen turvallisuusauditointikriteeristön (KATAKRI), jonka sisäisen turvallisuuden ministeriryhmä hyväksyi 26.11.2009. Kriteeristön päivitetty II-versio julkaistiin elokuussa 2011. Kansallinen turvallisuusauditointikriteeristö (KATAKRI) toimii ohjaavana asiakirjanaa silloin, kun kansallinen turvallisuusviranomainen (NSA) varmentaa suomalaisten yritysten turvallisuustason kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi. Lisäksi KATAKRI toimii ohjeena niissä tietoliikennejärjestelyissä sekä tietojärjestelmissä joissa käsitellään kansainvälisesti luokiteltua materiaalia.
Valtiovarainministeriö antoi syyskuussa 2012 ohjeen ICT-varautumisen vaatimuksista (VAHTI 2/2012), jotka otetaan huomioon hankkeessa ja työvälineessä.
Asettaminen ja organisointi
-
Tietoturvakriteeristö-työvälinehankkeen asettamispäätös PDF
1.10.2012 Valtiovarainministeriö