Ads 468x60px

maanantai 20. huhtikuuta 2015

Tietoturvatasot – Arvioidaanko yksi, neljä vai kahdeksan Vahti-ohjetta?

Tietoturvatasot, ah  tuo meille monelle niin rakas ja tuttu aihe. Kukapa ei olisi kuullut "legendaarisesta" Vahti 2/2010 ohjeesta ja sisältämistä kontrolleista?  Noh, siitä huolimatta, että tietoturvatasot ovat niin tuttu juttu, niin silti ajattelin kirjoittaa niistä mutaman sanasen.

1. heinäkuuta 2010 annettiin Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa [1]. Tämä asetus on siinä mielessä erittäin merkityksellinen, että kyseisessä asetuksessa säädetään ”valtionhallinnon viranomaisten asiakirjojen käsittelyä koskevista yleisistä tietoturvallisuusvaatimuksista sekä asiakirjojen luokittelun perusteista ja luokittelua vastaavista asiakirjojen käsittelyssä noudatettavista tietoturvallisuusvaatimuksista”. Asetuksen 5 §, tietoturvallisuuden perustason toteuttaminen, määrittää 10 kohtaa, jotka organisaatioiden tulee toteuttaa tietoturvallisuuden perustasolla. Tämän lisäksi asetuksessa on lukuisia muita vaatimuksia, jotka tulee huomioida eri suojaustasojen käsittelysäännöissä. Tietoturvallisuusasetus tuli voimaan 1.10.2010. Asetukseen sisältyi siirtymäaika, jonka mukaisesti organisaatioiden tuli saavuttaa asetuksen 5 §:ssä säädetty perustason 30.9.2013 mennessä.

Koska asetus määrittää perustason vaatimukset vain ja ainoastaan ylätasolla, niin tämä aiheutti merkittävän määrän kysymyksiä kuinka asetuksen vaatimukset tulee täyttää. Tätä ongelmaa poistamaan laadittiin Vahti-ohje 2/2010 Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta. Erityisen vahvan aseman on saanut ohjeen liite 5, jossa määritellään erilaisia vaatimuksia perustasolle, korotetulle tasolle ja korkealle tasolle. Tästä liitteestä onkin tullut synonyymi tietoturvatasojen vaatimuksille. Osin tämä johtuu siitä, että ohjeen julkaisun jälkeen suurin osa tietoturvatasoauditoinnesta on toteutettu vain kyseisen liitteen 5 kontrolleja vastaan.

Hämmentävää kyllä, mutta käsitykseni mukaan tietoturvatasojen korotettua tasoa tai korkeaa tasoa ei ole virallisesti määritelty missään. Perustason vaatimukset löytyvät siis asetuksesta, mutta korotetun tai korkean tason vaatimuksia ei ole määritelty. Tämän johdosto on yleisesti katsottu, että Vahti 2/2010 Liite 5:n vaatimukset *ovat* korotetun ja korkean tason vaatimukset.

Tietoturvatasot - auditointinäkökulma 

Mielenkiintoiseksi kysymys menee siinä vaiheessa, kun pohdimme mitä kriteeristöä vastaa organisaatio tulee auditoida tietoturvatasoauditoinnissa. Klassinen tulkinta on, että tällöin käytetään vain Vahti 2/2010 liitteen 5 vaatimuksia. Kuitenkin, mikäli organisaatio auditoidaan tietoturvatasoja vastaan viranomaisauditointina, niin tällöin auditoinnissa tulee arvioida 2/2010 lisäksi seuraavien Vahti-ohjeiden täyttyminen [2]:
  • Sisäverkko-ohje (VAHTI 3/2010), 
  • Teknisen ICT-ympäristön tietoturvataso-ohje (VAHTI 3/2012) ja 
  • Valtionhallinnon toimitilojen tietoturvaohje (VAHTI 2/2013). 
(Kannattaa myös huomata, että tällöin korotetun tai korkean tason ympäristö ei saa olla suoraa yhdessä internettiin [3].)

Ja jotta asiaa saataisiin vielä hämmennettyä, niin uusi Vahti 2/2014 Tietoturvallisuuden arviointiohje määrittää [4], että tietoturvatasovaatimuksia toteutettaessa ja arvioitaessa on huomioitava VAHTI 2/2010 -ohjeen lisäksi erityisesti seuraavat ohjeet:
  • VAHTI 3/2010 Sisäverkko-ohje,
  • VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohje, 
  • VAHTI 3/2012 Teknisen ympäristön tietoturvataso-ohje, 
  • VAHTI 1/2013 Sovelluskehityksen tietoturvaohje, 
  • VAHTI 2/2013 Toimitilojen tietoturvaohje,
  • VAHTI 4/2013 Henkilöstön tietoturvaohje ja 
  • VAHTI 5/2013 Päätelaitteiden tietoturvaohje.
Vahti 2/2014 ohjeesta tulee huomata, että "arviointioh­jeen tavoitteena on tukea,kehittää ja lisätä valtionhallinnon tietoturvalli­suuden arviointeja. Ohje on valtionhallinnon tietoturvallisuuden arviointien yleisohje ja se korvaa aikaisernmat ohjeet Tietoturvallisuuden arviointi val­tionhallinnossa, VAHTI 8/2006 sekä Tietoturvallisuuden hallintajärjestelmien arviointisuositus,VAHTI 3/2003".
Jos siis olen menossa auditoimaan tietoturvatasoa vastaan, niin montako kontrollia minun tulee katsoa ja mistä ohjeista???


Edellisen pohjalta olen kerännyt oheiseen taulukkoon yhteenvedon eri auditointivaatimuksista.

(Kiitokset Kari Saarelaiselle taulukkoajatuksesta)

Taulukkoa tulkintaan niin, että rivillä 1 on ”perinteinen” tietoturvatasoauditointi. Rivillä 2 on tietoturvatasoauditointi, jolla tähdätään viranomaishyväksyntään tietoturvatasojen mukaisesti. Rivillä 3 on tietoturvatasoauditointi Vahti 2/2014 mukaisesti. Vastaavasti taulukon sarakkeet osoittavat mitkä Vahti-ohjeista tulee missäkin auditoinnissa huomioida. Taulukkoa on myös yksinkertaistettu sen verran, että taulukosta ei näy miten uudet Vahti-ohjeet korvaavat vanhempia ohjeita (Esimerkiksi Vahti 5/2013 korvaa osittain Vahti 3/2010 vaatimuksia päätelaitteiden osalta).

Bonuksena taulukkoon on merkitty myös KATAKRI-auditoinnit. Kuten taulukosta havaitaan, niin KATAKRI-kriteeristöjä ei sovelleta missään tietoturvataso-auditoinnissa.


Näin ollen, jos organisaatio on arvioitu tietoturvatasoja vastaan ennen vuotta 2015, niin tällöin organisaatio on hyvin todennäköisesti arviotu pelkästään Vahti 2/2010 liite 5 ohjetta vastaan. Mikäli organisaatio haluaa, että se arvoidaan tietoturvatasoja vastaan 2015 tai tämän jälkeen, niin arvioinnissa tulee ensin määrittää halutaanko viranomaishyväksyntä tietoturvatasojen mukaisesti vai riittääkö pelkkä "tietoturvatasoauditointi". Jos päädytään, että viranomaishyväksyntää ei tarvita, niin tällöin tulee määrittää mitkä Vahti-ohjeet arvioinnissa tulee huomioida (tai ainakin määrittää toteutetaanko  auditointi Vahti 2/2010 vai 4/2014 mukaisesti).

Entäs korotettu taso? 

Laki ei määritä suoraan, mitkä velvoitteet organisaation tulee täyttää, mikäli se haluaa täyttää korotetun tason (tai korkean tason) vaatimukset. Näin ollen jokaisen tietoturvatasoaudioinnin yhteydessä on äärimmäisen tärkeää määrittää yksikäsitteisesti, mitkä Vahti-ohjeet tulee ottaa mukaan ja minkä tason vaatimuksia tulee tarkastella. Samoin, mikäli olet hankkimassa palveluja ja haluat palvelun olevan jonkun ”tietoturvatasojen” mukainen, niin sinun tulee muistaa huomioida yllä mainitut vaihtoehdot.

Terveisin
Antti


Ei kommentteja:

Lähetä kommentti