TigerTeam - suomalainen tietoturvablogi

Kansallinen turvallisuuden audiointikriteeristö eli Katakri on nyt voimassa. Laatimistyössä on ollut mukana viranomaisia, elinkeinoelämän toimijoita ja turvallisuusalan järjestöjä. Varsinainen kriteeristö reiluna satasivuisena dokumenttina löytyy täältä [.PDF]. Kriteeristön runkona on käytetty pitkälti ISO 27001 - ja PCI DSS -standardeja.

Ennen kesälomiaan valtioneuvoston pitäisi hyväksyä puolestaan asetus tietoturvallisuudesta valtionhallinnossa. Tuo ns. tietoturvallisuusasetus määrittelee samalla tietoturvatasot. Tällä hetkellä on vielä vaikea arvioida tulevatko Katakri ja uusi asetus sisältämään päällekkäisyyksiä. Sisäisen turvallisuuden ministeriryhmä on päätynyt suosittamaan Katakrin käyttöönottoa.

Katakria ennen auditointien pohjana on käytetty esimerkiksi virastojen sisäisiä tarkistuslistatyyppisiä dokumentteja. Auditoivana tahonahan on viranomainen, tyypillisesti puolustusvoimat tai suojelupoliisi.

Molemminpuolinen hyöty

Selvää on, että yhtenäisen auditointikriteeristön valmistuminen auttaa sekä auditoinnin tilaajaa että toteuttajaa. On eletty myös tilanteessa, jossa kaikki auditoinnin osa-alueet kattava kattodokumentti on selkeästi puuttunut.

Katakri kattaa myös henkilöstöturvallisuuden vaatimuksia. Katakri voidaankin nähdä pitkälti toimialariippumattomana dokumenttina kuten ISO 27001 -standardikin.

Herääkin muun muassa kysymys kuinka kauan Katakri-auditointi on voimassa? Hallinnollisia kysymyksiä on runsaasti. On todennäköistä, että Katakria tullaan käyttämään myös vaatimusmäärittelyjen pohjana monissa oganisaatiossa

Jari Törmälä on Nixun sisäinen tietoturvapäällikkö ja on toteuttanut lukuisia hallinnollisia tietoturva-auditointeja julkishallintoon.