Valtion tietoturva-asetus hyväksyttiin – mitä siitä tulee tietää
Kommentoi
Viranomaisten velvollisuus varautua poikkeusoloihin perustuu valmiuslakiin. Valtion organisaatioiden tulee varmistaa tehtäviensä mahdollisimman hyvä hoitaminen niin normaaliolojen häiriötilanteissa kuin poikkeusoloissakin.
Tehtävien tehokas hoitaminen vaatii tänä päivänä ICT-palveluiden sujuvaa toimintaa. Palvelut ovat usein käytössä yli organisaatiorajojen ja tämän verkoston toiminta on kyettävä varmistamaan järjestelmien teknisen toteutuksen, organisaation toiminnan ja johtamisen osalta. Myös tukipalveluiden on toimittava kivuttomasti.
ICT-varautumisen ja Tietoturvatasot-hankkeiden tavoitteena on mahdollistaa julkishallinnon yhtenäinen ja koordinoitu erityistilanteisiin varautuminen kustannustehokkaasti ja yhtenäisesti osana kunkin hallinnonalan jokapäiväistä toimintaa normaalioloissa, häiriötilanteissa ja poikkeusoloissa. Hanke pyrkii myös tarjoamaan välineet tietoturvallisuuden järjestelmälliseen kehittämiseen. Tässä avainroolissa on kaikkien hallinnonalojen saattaminen samalle perustasolle.
Ei pelkästään julkishallinnon asia
Sekä tietoturvatasoissa että ICT-varautumisen vaatimuksissa on määritetty kolme tasoa:
• perustaso,
• korotettu taso ja
• korkea taso.
Tavoitetaso määritetään tarkasteltavan palvelun kriittisyyden mukaan ja vähintään sama taso ulotetaan myös tärkeimpään toimittajaverkostoon.
Nämä vaatimukset eivät koske vain julkishallintoa, vaan kaikkia organisaatioita, jotka tuottavat palveluita valtiohallinnolle tai ovat osana tätä palveluverkostoa.
Mitä vaaditaan?
Tietoturvatasot ja ICT-varautumisen vaatimukset sisältävät molemmat johtamiseen, kumppanien hallintaan ja ICT-palvelujen tietoturvaan liittyviä vaatimuksia. Tasot ovat suurelta osin linjassa kansainvälisten tietoturvan hallintastandardien kanssa, joten organisaatio joka on kehittänyt hallintajärjestelmää esim. ISO27001-standardin pohjalta, on hyvin pitkällä myös Tietoturvatasojen rakentamisessa. ICT-varautumisen vaatimukset lisäävät jatkuvuuteen ja erityisesti organisaation tai koko yhteiskunnan häiriötilanteissa toimimiseen liittyviä vaatimuksia. Tasot on pääosin sisällytetty ICT-varautumisen vaatimuksiin.
Valtioneuvoston asetus tietoturvatasoista annettiin eilen.
Organisaatiot, jotka lähtevät rakentamaan palveluiden vaatimuksenmukaisuutta tarvitsevat vahvaa osaamista tietoturvan ja jatkuvuuden hallinnan suunnitteluun ja toteutukseen. Vuoden 2013 loppuun mennessä hallinnonalojen ja virastojen tulee saavuttaa perustaso ja kuvata keskeisimmät palveluverkostonsa, määriteltävä organisaatiolle, palveluille ja järjestelmille tavoitetaso ja aikataulu sekä resurssit sen toteuttamiseksi.
Nixun asiantuntijat ovat olleet mukana sekä ICT-varautumisen vaatimusten että Tietoturvatasojen määrittelyssä ja pilotoinnissa ja haluavat tarjota osaamisensa vaatimuksenmukaisuutta tavoittelevien organisaatioiden käyttöön niin julkishallinnossa kuin yritysmaailmassa.
blogi