VAHTI-Ohje, mitä, kuka ja miksi

  • syyskuuta 2, 2019

 

Mikä on VAHTI-ohje ja ketä se koskee?

VAHTI-Ohjeisto (vahdin omat sivut tässä)  eli "Julkisen hallinnon digitaalisen turvallisuuden johtoryhmän (VAHTI) ohjesivusto" on laaja kokoelma ohjeita jotka liittyvät digitaalisen turvallisuuden varmistamiseen ja kehittämiseen julkishallinnossa.

Digitaalinen turvallisuus on tässä käsitettävänä sen laajassa kontekstissa niin, että se sisältää myös digitaalisen aineiston fyysisen elementin, eli esimerkiksi laitteet ja välineet joissa tieto on, tilat joissa laitteet sijaitsevat sekä henkilöt jotka niitä käyttävät tai joilla on pääsy niiden luo. 

"Valtiovarainministeriö on asettanut VAHTIn (julkisen hallinnon digitaalisen turvallisuuden johtoryhmä) toimimaan julkisen hallinnon digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä."

 

VAHTI- ohjeiden ja KATAKRI:n välinen suhde
KATAKRI on tietoturvallisuuden auditointityökalu viranomaisille. 

"Katakri on viranomaisten auditointityökalu, jota voidaan käyttää arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset."

KATAKRI:n ja VAHTI-ohjeiden suhde tulee hyvin esiin esimerkiksi siinä, että KATAKRI:n ensimmäisessä hallinnollisen tietoturvallisuuden vaatimuskohdassa (T01 - Turvallisuusjohtaminen) viitataan VAHTI 2/2010- ohjeeseen (Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta) "muuna lisätietolähteenä".

KATAKRI mainitsee seuraavat vaatimukset kohdassa "T01 Turvallisuusjohtaminen":
1) Organisaatiolla on ylimmän johdon hyväksymät turvallisuusperiaatteet, jotka kuvaavat
organisaation turvallisuustoiminnan kytkeytymistä organisaation toimintaan.
2) Turvallisuusperiaatteet ovat organisaation ja suojattavien kohteiden kannalta kattavat ja
tarkoituksenmukaiset.
3) Turvallisuusperiaatteet ohjaavat turvallisuustoimintaa. Turvallisuusperiaatteiden toteutumisesta
raportoidaan ja niiden toteutumista seurataan säännöllisesti. 

Ja vastaavasta VAHTI-Ohje 2/2010 selventää "Liitteessä 5 kohdassa 1.1 Johtajuudelle asetettavat vaatimukset ", että:
Perustason vaatimukset
1. Organisaation toimintaa koskevan lainsäädännön asettamien vaatimusten tunnistaminen ja
niistä henkilöstölle tiedottaminen on organisoitu ja vastuutettu.
2. Organisaation ydintoiminnot ja -prosessit on tunnistettu sekä organisoitu ja vastuutettu.
3. Organisaatiolla on kirjallinen johdon hyväksymä tietoturvapolitiikka.

Korotetun tason lisävaatimukset
4. Organisaatiolla on strategiatason kirjallinen suunnitelma, josta mm. käy ilmi, miten tietoturvatyö vastuutetaan ja organisoidaan ydintavoitteiden saavuttamiseksi.

Korkean tason lisävaatimukset
5. Organisaatiolla on vuosittainen tietoturvallisuuden kehittämissuunnitelma.
6. Tulosohjauksessa käytetään myös tietoturvallisuuteen liittyviä osuuksia.

VAHTI- ohjeiden ryhmittely

VAHTI-ohjeet on ryhmitelty kahdeksaan (8) luokkaan, jotka käsittelvät digitaalisen turvallisuuden eri osa-alueita. Yksityiset yritykset ovat tyypillisesti erityisesti tekemisissä Fyysisen turvallisuuden (toimitilojen turvallisuusohje) ja hallinnollisen turvallisuuden kanssa (Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta) siksi, että niiltä vaaditaan selvitystä em. osa-alueiden vaatimusten täyttymisestä jonkin suojaustason vaatimusten mukaisesti. 

VAHTI-Ryhmittely
- Fyysinen turvallisuus
- Hallinnollinen tietoturvallisuus
- Henkilöstöturvallisuus
- Käyttöturvallisuus
- Laitteistoturvallisuus
- Ohjelmistoturvallisuus
- Tietoaineistoturvallisuus
- Tietoliikenneturvallisuus

Kenen tulee noudattaa VAHTI-ohjeita?
Lyhyesti sanottuna voidaan todeta, että julkishallinnossa on noudatettava VAHTI-ohjeita minkä lisäksi jukishallinnon tietoja käsittelevät yksityiset yritykset ovat (yleensä) sopimuksella (palvelusopimus tai sen liitteenä oleva erillinen turvallisuussopimus) velvoitettu noudattamaan niitä.

Julkishallinnon ja yksityisten yritysten välisissä turvallisuussopimuksissa viitataan usein siihen, että "suojattavien tietojen osalta yrityksen on täytettävä perustason ja/tai korotetun tason vaatimukset". 

"Alin viranomaisen tietojenkäsittely-ympäristöille sallittu taso on tietoturvallisuuden perustaso.
Tässä ympäristössä voidaan tietosisällön toimivaltaa käyttävän viranomaisen päätöksellä käsitellä selväkielisessä muodossa suojaustason IV edellyttävää tietoa (katso luku 7.4). Korotetun tietoturvallisuustason ympäristössä voidaan
vastaavilla valtuuksilla käsitellä tietoa selväkielisessä muodossa aina suojaustasoon III asti. Vastaavasti korkean tietoturvallisuustason täyttävissä ympäristöissä voidaan käsitellä tietoa selväkielisessä muodossa suojaustasoon II asti."

Salassa pidettävät tiedot ja suojaustasot (IV, III, II ja I)

Tärkein ymmärrettävä asia tietoja koskien on se, että kaikki tiedot eivät ole salattua tietoa. Kaikkia asiakirjoja ei näin ollen suojata minkään suojastason mukaisesti. Vahti-ohjeessa on kuvattu perusteet tietojen luokittelua koskien. Tietoturvallisuusasetus on se laki, jonka perusteella tietojen luokittelu tapahtuu.

On tärkeää muistaa,, että viranomainen tekee aina päätöksen siitä, mihin suojaustasoon aineisto kuuluu. Yksityinen palveluntuottaja tai elinkeinonharjoittaja, joka käsittelee tietoja, ei tee päätöstä aineiston suojaustasosta. Kun aineiston suojaustaso on päätetty ja tiedossa, tulee sitä käsitellä kyseisen suojaustason edellyttämällä tavalla. 

1) suojaustaso I, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle;

2) suojaustaso II, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle edulle;

3) suojaustaso III, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle;

4) suojaustaso IV, jos asiakirjaan sisältyvän salassa pidettävän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetulle yleiselle tai yksityiselle edulle.

SUOJAUSTASO TURVALLISUUSLUOKITTELUN NIMIKE LYHENNE
Suojaustaso I ERITTÄIN SALAINEN ERSAL (E)
Suojaustaso II SALAINEN SAL (S)
Suojaustaso III LUOTTAMUKSELLINEN LUOT (L)
Suojaustaso IV KÄYTTÖ RAJOITETTU RAJ (R)

 

Seclion Oy - Asiantuntijat palveluksessasi


Tutustu tiimiimme täällä - saat meiltä parhaat osaajat auttamaan sinua esimerkiksi VAHTI- ja KATAKRI auditointeihin liittyvissä kysymyksissä. 

Haluaisitko keskustella lisää aiheesta asiantuntijan kanssa maksuttomassa palaverissa?