Information säkerhet plan för Statsförvaltningen
VM115:01/2006 Projekt
Esitutkimushankkeen tehtävänä on
- selvittää, onko perusteltua lähteä selvittämään ja arvioimaan perusteellisesti tietoturvatasoja. Haasteena on harkita, mikä on tietoturvatasojen tarkoitus käytännössä ja onko (minimi)perustaso sovellettavissa jokaiseen organisaatioon.
- tuottaa suunnitelma toteutusvaihtoehdoille. Hankeryhmän on mietittävä määrittelyn suuntaus ja kohdentaminen: mihin ottaa kantaa, mitä osa-alueita painotetaan joitakin tietoturvallisuuden osa-alueita todennäköisesti enemmän kuin toisia. Myöhemmin tarvitaan havainnollinen suunnitelma, miten määritellylle tasolle pääsee.
- kartoittaa kansainvälisten tietoturvatasojen tilanne; mitä vastaavia määrityksiä on olemassa. Soveltuvien käytäntöjen arviointi, tasomallit ja käytettävät ideat voivat vaikuttaa tulevaan määritykseen.
- kartoittaa olemassa olevien viranomaisaineistojen hyväksikäyttö ja perehtyä valtionhallinnon näkökulmasta kansallista ja kansainvälistä tietoturvallisuutta kehittävien tietoturvallisuuden ...
Projektets basuppgifter Avslutat
Projektets nummer VM115:01/2006
Ärendenummer
Projektets arrangör finansministeriet
Mandattid 19.1.2007 – 31.5.2007
Datum för tillsättande 19.1.2007
Mål och resultat
Hankkeen tavoitteena ja haasteena on lisätä hallinnonalojen välistä sisäistä luottamusta sekä varmistaa yhteinen tietoturvataso valtionhallinnolle. Konkreettisena tavoitteena on tehdä ehdotus ja suunnitelma tietoturvan tasomäärityksille; millaisilla resursseilla esitutkimusvaiheen tuloksia jatketaan. Hankkeen kohteena on tietoturvan kokonaisvaltainen näkemys, joka ottaa huomioon laajasti kaikki tietoturvan osa-alueet, jotka on mainittu Valtioneuvoston valtion tietoturvallisuutta koskevassa periaatepäätöksessä sekä VAHTI-ohjeissa.
Esitutkimushankkeen tavoitteena ja haasteena on määritellä valtionhallinnon organisaatioiden tietojärjestelmille tietoturvatasot (perustaso ja korkea taso). Perustietoturvataso on tietoturvallisuuden eri osa-alueet kattava määritys perusedellytyksistä, jotka jokaisen organisaation ja tietojärjestelmän tulee täyttää. Organisaation on pystyttävä soveltuvin osin täyttämään vaatimukset ja myös noudatettava samaa tietoturvatasoa kuin muut. Korkeassa tietoturvatasossa määritellään yhteiskunnan elintärkeille toiminnoille, tietojärjestelmille ja verkoille tarvittavat lisäsuojaukset ja varmistukset. Valtionhallinnossa organisaation on pyrittävä tavoittamaan paras mahdollinen ja järkevä taso käytettävissä olevilla resursseilla.
Tietoturvavaatimuksien antamista harkitaan sitovana normina. Tietoturvan (taso)vaatimukset ovat jatkossa enenevästi organisaatioita velvoittavia. Tietoturvatasojen jatkohanke mahdollisesti valmistelee seuraavassa vaiheessa tuotettavan ohjeen vaatimukset velvoittavaksi määräykseksi valtionhallintoon.
Hankkeen kokonaisvaltaisena tavoitteena on parantaa valtionhallinnon organisaatioiden tietämystä tietoturvatasoista ja sitouttaa organisaatiot jatkotyöhön. Hankkeen lopputuloksena saadaan yhtenäinen perusta tietoturvan arviointitoiminnalle. Tietoturvan tasoajattelu toteutuu käytännössä hallinnossa, kun hallinnolla on apuväline tietoturvan kehittämiseen ja hankkeen lopputulokset ovat koulutettavissa ja auditoitavissa. Hankkeen tavoitteena on tukea valtionhallinnon organisaatioiden tietoturvallista toimintaa.
Utgångspunkter
Valtionhallinnon IT-strategian tavoitteena ovat tyytyväiset asiakkaat ja joustavat palvelut sekä tehokas, turvallinen ja verkottunut hallinto (15.6.2006, valtioneuvoston periaatepäätös valtionhallinnon IT-toiminnan kehittämisestä). Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) yhteistyö ja ohjaus ovat tehostaneet ja parantaneet valtionhallinnon tietoturvallisuutta kokonaisuutena. Yhteistoimintaa edistetään sillä, että luottamus säilyy sekä kansalaisilla että viranomaisilla. Tasolähtöisellä ajattelutavalla hallinnon toimijat voivat luottaa toisiinsa ja kansalaiset hallintoon.
Keskeiset kehitystrendit - kansainvälistyminen, nopea tekninen kehitys, sähköinen asiointi ja palvelut sekä tietoyhteiskuntakehitys lisäävät tietoturvallisuuden merkitystä. Lainsäädäntöön sisältyy jo nyt tietoturvavelvoitteita. Jokainen organisaatio on vastuussa oman toimintansa tietoturvallisuudesta ja säädösten noudattamisesta. Samalla toiminnassa on otettava huomioon taloudellisuus ja tuottavuus.
Kaikkien valtion organisaatioiden on päätettävä tavoitetasonsa suhteessa yhteisesti hyväksyttyyn tietoturvatasomalliin ja pyrittävä siihen. Tietoturvatasojen määrittämisen taustalla ovat organisaatioiden toiminnan ja rakenteiden erilaisuus. Perusturvataso on kuvaus minimiedellytyksistä, jotka jokaisen valtion organisaation tulee täyttää. Tavoitteena on varmistaa, että kaikki organisaatiot pystyvät täyttämään edes perustason tietoturvavaatimukset. Tietoturvavaatimuksissa on otettava huomioon toiminnan ja tietojärjestelmien erilaiset sisällöt ja tiedot sekä käyttötarpeet. Tästä syystä organisaation sisäisillä järjestelmillä voi olla erilaisia turvatasoja. Organisaation toiminnan tietoturvan tavoitetason on oltava johdon linjaama näkemys, joka on suhteutettu toiminnan kokonaisuuteen. Tietoturvatasojen määrittelyssä huomioidaan myös mahdollisuus, että jokin organisaation toiminto edellyttää erilaista tietoturvatasoa kuin muut toiminnot.
Toteutunut tietoturvan taso vaihtelee organisaatioittain. Tarve organisaation tietoturvatason arviointiin ja tietoturvavaatimusten noudattamiseen on ilmeinen, mutta kaikilla organisaatioilla ei ole resursseja tähän. Useissa organisaatioissa käsitellään tietoja ja tehdään töitä, jotka vaatisivat korkeaa tietoturvatasoa. Korkean tietoturvatason noudattamista edellytetään organisaatioilta, joilla on yhteiskunnan elintärkeitä toimintoja (YETT) sekä keskeisiä ja luottamuksellisia tietoja sisältäviä tietojärjestelmiä. Käytännössä tämä ei vielä toteudu tarvittavassa laajuudessa.
Useiden hallinnon kehittämishankkeiden toimeenpano tai jatkotyö edellyttävät tätä tietoturvatasojen esitutkimushanketta. Hanke tukee esimerkiksi Puolustusvoimien tietohallinnon rationalisointi (TIERA)-hanketta sekä VAHTIn ja valtion IT-strategian hankkeiden toteuttamista. Hanke tukee kokonaisvaltaisen riskienhallinnan hyvien käytäntöjen omaksumista ja toteuttamista sen mallin mukaisesti, jonka valtioneuvoston controller ja valtion sisäisen valvonnan ja riskienhallinnan neuvottelukunta ovat antaneet valtion virastojen ja laitosten hyvästä riskienhallintatavasta. Rajapintoja jo tehtyihin selvityksiin on mm. KuntaIT, Selvitys valtion ympärivuorokautisen tietoturvallisuuden järjestämisestä (Vahti 4/2006), Selvitys valtion tietoturvaresurssien jakamisesta (Vahti 3/2006) sekä Muutos ja tietoturvallisuus, alueellistamisesta ulkoistamiseen hallittu prosessi (Vahti 7/2006).
Esitutkimusvaiheessa on tärkeää selvittää muiden maiden käytäntöjä, kansainvälisiä tasoarviointeja ja analysoida tilannetta yleisesti. Valtionhallinnossa on tarve määritellä toiminnassa toteutettavat tietoturvallisuuden tasot, jotka perustuvat laadittavaan tasomalliin. Tasomäärittelyssä tulee olla mukana keskeisinä taustatekijöinä myös toiminnan kehittämisen, hyvän tiedonhallinta ja -käsittelytavan, tuottavuuden ja tulosohjauksen elementit.
Tietoturvatasojen esitutkimushanke on VAHTIn seuraama ja valtion IT-toiminnan johtamisyksikön kärkihanke (Valt IT). Valtiovarainministeriö, ValtIT -yksikkö ja VAHTI seuraavat ja arvioivat toteutumista. Tietoturvallisuudella ja tällä esitutkimushankkeella on korkea prioriteetti valtion IT-strategiassa.
Ytterligare uppgifter
Remissbehandlingar och höranden
Lausuntoyhteenveto
18.9.2007 Valtiovarainministeriö
Ilmoitus, ettei lausunttavaa
17.9.2007 Korkein hallinto-oikeus
Lausunto, 995/05/2007
14.9.2007 Liikenne- ja viestintäministeriö
Lausunto, 1430/003/2007TM
13.9.2007 Työministeriö
Lausunto, 1198/05/2007
13.9.2007 Tietosuojavaltuutetun toimisto
Lausunto
12.9.2007 Puolustusvoimien Materiaalilaitoksen esikunta
Lausunto
12.9.2007 Rajavartiolaitoksen esikunta
Lausunto, H 00093/07
11.9.2007 Turun hallinto-oikeus
Lausunto
11.9.2007 Puolustusministeriö
lausunto, 2157/044/2007
10.9.2007 Maa- ja metsätalousministeriö
Lausunto
9.9.2007 Pelastusopisto
Lausunto, TME2308 31/32/07
7.9.2007 Metsäntutkimuslaitos METLA
Lausunto, 1048/005/2007
7.9.2007 Elintarviketurvallisuusvirasto Evira
Lausunto, 1216/040/07
7.9.2007 Väestörekisterikeskus
Lausunto
7.9.2007 Kuluttajatutkimuskeskus
lausunto, 357/1.1.5.2./16/2007
7.9.2007 Poliisikoulu
lausunto
7.9.2007 Ylioppilastutkintolautakunta
lausunto
7.9.2007 Julkisen hallinnon tietohallinnon neuvottelukunta
lausunto
7.9.2007 MMM/TIKE
lausunto
7.9.2007 Länsi-Suomen lääninhallitus
lausunto
7.9.2007 CIMO
lausunto, 365/006/2007
7.9.2007 Riistan- ja kalantutkimuslaitos
lausunto
7.9.2007 Itä-Suomen lääninhallitus
lausunto
7.9.2007 Helsingin kauppakorkeakoulu
lausunto
7.9.2007 Merivoimien esikunta
lausunto, YM111/04/2007
7.9.2007 Ympäristöministeriö
lausunto
7.9.2007 Oulun yliopisto
lausunto
7.9.2007 Keskuskauppakamari
lausunto
7.9.2007 Oulun lääninhallitus
lausunto, LLH-2007-01103/Yl-4
7.9.2007 Lapin lääninhallitus
lausunto
7.9.2007 Tampereen yliopisto
lausunto
7.9.2007 Tiehallinto
lausunto, 9/024/2007
7.9.2007 Valtion taidemuseo
Lausunto, 334/2007
7.9.2007 Kansanterveyslaitos
Lausunto, 1182/04/2007
7.9.2007 Helsingin yliopisto
ilmoitus, ettei lausuttavaa asiassa, H00219/07
7.9.2007 Helsingin hallinto-oikeus
Lausunto, TK-46-841-07
7.9.2007 Tilastokeskus
Lausunto
7.9.2007 Etelä-Savon TE-keskus
Lausunto, 106/050/2007
7.9.2007 Opetusministeriö
lausunto, 39/072/2007
6.9.2007 Kauppa- ja teollisuusministeriö
Lausunto
6.9.2007 Tietoturva ry TTRY
Lausunto
6.9.2007 Eduskunta
lausunto, 170/04/07
6.9.2007 Poliisiammattikorkeakoulu
lausunto, 858/08/2007
6.9.2007 Valtioneuvoston kanslia
lausunto, 1125/04/2007
6.9.2007 Viestintävirasto
lausunto, 86/33/2007
6.9.2007 Merentutkimuslaitos
Lausunto
6.9.2007 Huoltovarmuuskeskus
Lausunto, H00169/07
5.9.2007 Vaasan hallinto-oikeus
lausunto
5.9.2007 Kuopion yliopisto
lausunto, 2395/400/2007
5.9.2007 Stakes
lausunto, 959/09/2007
5.9.2007 Verohallitus
lausunto
5.9.2007 Pohjois-Pohjanmaan TE-keskus
Lausunto, 4073/00/005/07
5.9.2007 Terveydenhuollon oikeusturvakeskus TEO
Lausunto, 231/03/07
5.9.2007 Åbo Akademi
lausunto, 13/043/2007
5.9.2007 Oikeusministeriö
lausunto, 311/041/2007
4.9.2007 Uudenmaan TE-keskus
Lausunto, HELT045-35
3.9.2007 Ulkoasiainministeriö
lausunto
3.9.2007 Pohjanmaan TE-keskus
Lausunto, 151/041/07
3.9.2007 Pohjois-Karjalan TE-keskus
lausunto, 711/52/07
3.9.2007 Keskusrikospoliisi
lausunto
3.9.2007 Varsinais-Suomen TE-keskus
lausunto
3.9.2007 Työterveyslaitos
lausunto, 282/31/07
2.9.2007 Valtiontalouden tarkastusvirasto
lausunto
31.8.2007 Liikkuva poliisi
lausunto, ESLH-2007-05719/YI-4
30.8.2007 Etelä-Suomen lääninhallitus
lausunto, 105/041/2007
27.8.2007 Kaakkois-Suomen TE-keskus
Lausunto, 1173/02/2007/HPL
27.8.2007 Helsingin kihlakunnan poliisilaitos
lausunto, 1255/48/07
24.8.2007 Tekes
Lausunto
23.8.2007 Kuopion hallinto-oikeus
Lausunto, 45/004/2007
21.8.2007 Vakuutusvalvontavirasto
Lausunto, L 9
17.8.2007 Kouvolan hovioikeus
Lausunto, PTHK 11/012/2007
17.8.2007 Poliisin tietohallintokeskus
lausunto, 97/991/2007
17.8.2007 Ajoneuvohallintokeskus
Lausunto, 8/050/2007
15.8.2007 Opetushallitus
Lausunto, 244/2007
8.8.2007 Suojelupoliisi
Lausunto
1.8.2007 Kansallisarkisto
Lausunto, SM-2007-2150/Vi-1
17.7.2007 Sisäasiainministeriö
Ilmoitus, ettei lausuntoa anneta, TAS 246/07
16.7.2007 Tasa-arvovaltuutettu
Jakelussa mainitut; Lausuntopyyntö valtionhallinnon tietoturvatasojen esitutkimusraportista (TTT)
20.6.2007 Valtiovarainministeriö
Publikationer och rapporter
Valtionhallinnon tietoturvatasot - esitutkimus (hankeryhmän loppuraportti) PDF
Valtiovarainministeriö
Julkaisuvuosi: 2007; WWW-osoite: http://www.vm.fi/vm/fi/04_julkaisut_ja_asiakirjat/03_muut_asiakirjat/20070626Valtio/02_TTT_Loppuraportti_26062007.pdf;
Tillsättande och organisering
Asettamispäätös PDF
19.1.2007 Valtiovarainministeriö
Lagberedning och utveckling i statsrådet
Ministerierna genomför regeringsprogrammet, bereder lagar och andra författningar samt genomför reformer i olika projekt, arbetsgrupper och organ.
Alla ministeriers projekt hittas på statsrådets webbplats valtioneuvosto.fi/sv/projekt