Julkisen hallinnon tietoturvallisuuden arviointikriteeristö, eli Julkri, on Valtiovarainministeriön kesäkuussa 2022 julkaisema kokoelma, johon sisältyy itse arviointikriteeristö, sekä Tiedonhallintalautakunnan ja Tietosuojavaltuutetun toimiston suositukset arviointikriteeristön hyödyntämisestä (Valtiovarainministeriön julkaisuja 2022:43). Tämä blogikirjoitus avaa ja käsittelee Julkrin sisältöä.
Mistä Julkrissa on kyse ja kenelle se on tarkoitettu?
Kriteeristö tukee organisaation riskilähtöistä turvallisuusjohtamista; Julkrin avulla voidaan arvioida ja kehittää julkishallinnon tietoturvallisuutta. Sillä voidaan myös arvioida tietoturvallisuutta koskevien lainsäädännöllisten velvoitteiden täyttymistä varsinkin tiedonhallintalain ja turvallisuusluokitteluasetuksen konteksteissa.
Julkri palveleekin erityisesti tietoturvallisuussääntelyn kohteita, eli julkisen hallinnon tiedonhallintayksikköjä, viranomaisia sekä julkisia hallintotehtäviä hoitavia yksityisiä organisaatioita. Erityisen hyvin Julkri soveltuu juuri kuntasektorille. Tästä huolimatta suhteessa lainsäädäntöön Julkri on kuitenkin ”vain” suositus, sillä lainsäädännön vaatimukset voidaan täyttää muutoinkin kuin Julkrissa kuvatulla tavalla.
Julkri vs. Katakri ja Pitukri?
Julkri sisältää Katakri- ja PiTukri-arviointikriteeristöjä laajemmin myös julkisen ja salassa pidettävän tiedon, varautumisen ja jatkuvuuden hallinnan sekä tietosuojan kriteereitä. Osa niistä perustuu lainsäädäntöön, osa kansainvälisiin standardeihin, ja osa muihin tietoturvallisuussuosituksiin. Julkri pyrittiin säilyttämään mahdollisimman yhdenmukaisena Katakrin kanssa; Julkri ei kuitenkaan sisällä kansainvälisiin tietoturvallisuusvelvoitteisiin perustuvia kriteerejä, mikä erottaa sen Katakrista. Julkri ei käsittele myöskään toimialakohtaisesta sääntelystä johtuvia vaatimuksia.
Mitä osa-alueita Julkri sisältää?
Kriteeristö on jaettu viisikkoon: hallinnollinen turvallisuus (HAL), fyysinen turvallisuus (FYY), tekninen turvallisuus (TEK), varautuminen ja jatkuvuudenhallinta (VAR), sekä tietosuoja (TSU). Jokainen näistä osa-alueista sisältää sekä alueen pääkriteerit, että niiden alakriteerit; yhteensä kriteerejä onkin yli kaksisataa. Kriteerit on luokiteltu luottamuksellisuuden, eheyden ja saatavuuden näkökulmista. Niiden sisällöissä on huomioitu myös täydentävät tietoturvallisuuden näkökulmat, kuten tiedon kiistämättömyys ja autenttisuus.
Millaisissa tapauksissa Julkria voidaan hyödyntää?
Julkrissa ennalta määritellyt käyttötapaukset, kuten hankinnat, toimittajien arvioinnit, palvelujen arvioinnit sekä tietosuojavaatimuksien arviointitilanteet helpottavat kriteeristön tilannekohtaista soveltamista. Julkria voidaan soveltaa esimerkiksi konsulttipalveluiden hankinnassa, kun halutaan varmistua näitä palveluita tuottavan organisaation tietoturvallisuudesta. Tämänkaltaiseen käyttötapaukseen soveltuisi 171 kriteeriä, joista puolet ovat velvoittavia.
Vaikka Julkria voidaankin soveltaa koko organisaation toimintaan, tilanteiden erilaisuudet tulee huomioida kriteeristön soveltamisessa, jotta matalamman tason kohteisiin ei sovelleta suhteellisesti liian korkeita kriteereitä eikä siten lisätä tarpeettomasti monimutkaisuutta ja kustannuksia.
Tärkeitä näkökulmia Julkrin hyödyntämisessä?
Arvioinnin kohteen täsmällinen määrittely ja rajaus onkin yksi kriteeristön käytön tärkeimmistä vaiheista, myös siksi, että tilannekohtaisesti mukautettujen arviointien tulisi yhdessä kattaa koko organisaation toiminta. Julkrissa mainitaankin esimerkiksi, että ”jos hankitaan uusi tietojärjestelmä, jota tullaan operoimaan yhteisellä alustalla, jonka turvallisuus on jo aiemmin arvioitu, voidaan uuden tietojärjestelmän arvioinnista jättää pois aiemmin arvioidut yhteisen alustan vastuulla olevat kriteerit.” Esimerkki havainnollistaa arviointien yhteensopivuutta ja tarpeettomien tai ristiriitaisten päällekkäisyyksien välttämistä. Julkrilla voidaan esimerkiksi arvioida organisaation käyttämän, yksittäisen SaaS-pilvipalvelun tietoturvallisuutta ja tietosuojaa – tai sitten koko organisaation tietoturvallisuutta koskevan dokumentaation vaatimustenmukaisuutta.
Arvioinnin kohteen määrittelyn, ja varsinkin siltä edellytetyn luottamuksellisuuden, eheyden ja saatavuuden tunnistamisen jälkeen itse kriteerit ja niiden täyttyminen tulevat tarkasteltaviksi. Lähtökohtana on, että kaikkien kriteerien – niin olennaisten, kuin valinnaistenkin – tulisi täyttyä. Lähtökohdasta voidaan poiketa, mikäli organisaatio pystyy osoittamaan, että riskit, joita täyttymättä jäävät kriteerit koskevat, ovat muutoin hallinnoituja – kuitenkin muistaen, ettei lainsäädännön edellyttämistä riskinhallintakeinoista voida poiketa. Esimerkiksi tiedon käyttö- ja käsittelyoikeuksien määrittämiseen ja seurantaan kohdistuu vaatimuksia niin tiedonhallintalaista, kuin turvallisuusluokitteluasetuksesta, sekä Tiedonhallintalautakunnan suosituksista; Julkrilla näitä voidaan hallita kokonaisuutena, ja soveltaa kulloisenkin käyttötapauksen tarpeisiin.
Julkrin hyödyntäminen käytännössä ja oman organisaation osaamisvaatimukset?
Kriteeristö on aseteltu Exceliin työkaluna hyödynnettävään muotoon. Työkalun laaja-alaisuus ja kriteerien lukuisuus tekevät siitä kattavan välineen riskilähtöisen turvallisuusjohtamisen tarpeisiin. Hallinnollisten, fyysisten ja teknisten turvallisuustoimien ohella kriteeristö käsittääkin myös varautumisen, jatkuvuudenhallinnan, sekä henkilötietojen tietosuojan.
Kattavaksi tarkoitettuna välineenä Julkri edellyttää kuitenkin käyttäjältään laaja-alaista ymmärrystä organisaatioturvallisuuden tasoista, jonka vuoksi on hyvä käyttää tarvittaessa apuna ulkopuolista asiantuntijaa.
Seclion tarjoaa turvallisuuden suunnittelu- ja konsultointipalveluita Suomessa toimiville julkisen ja yksityisen sektorin organisaatioille. Asiantuntijoillamme on laaja-alaista osaamista eri turvallisuuden osa-alueiden kehittämisestä, aina riskienhallinnasta fyysisten tilaturvallisuusratkaisujen suunnitteluun ja kyberturvallisuuteen.