VAHTI 2/2013 Toimitilojen tietoturvaohje

Ministeriöille, virastoille ja laitoksille

Toimitilojen tietoturvaohje

Toimitilojen tietoturvaohjeen (VAHTI 2/2013) tarkoituksena on osaltaan tukea tietoturvallisuudesta  valtionhallinnossa  annetun  asetuksen  (681/2010) täytäntöönpanoa.

Ohje antaa suuntaviivoja sekä rakentamissuunnittelulle, että olemassa olevien toimitilojen turvallisuutta parantaville ratkaisuille. Ohje edisää salassa pidettävän tiedon säädösten ja linjausten mukaista käsittelyä ja säilytystä valtionhallinnossa. Ohje vahvistaa osaltaan valtionhallinnon tietoturvallisuuden kehittämisestä annetun valtioneuvoston periaatepäätöksen (26.11.2009) toimeenpanoa ja antaa lisäksi perusteita virastokohtaisten sovellusohjeiden laatimiselle.

Ohje on valmisteltu valtiovarainministeriön asettaman ja johtaman Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) toimeksiannosta ja ohjauksessa. Ohje tukee ja täydentää laajaa olemassa olevaa VAHTI-ohjeistoa. Ohje korvaa Tietoteknisten laitetilojen turvallisuussuosituksen (VAHTI 1/2002).

Ohje auttaa  organisaatioita  ottamaan huomioon  lakisääteiset ja  kansainvälisten turvallisuussäännöstöjen  asettamat  toimitilaturvallisuuden  vaatimukset.   Organisaatioita pyydetään käyttämään ohjetta hyväksi erityisesti toimitilojen  muutostilanteissa.

Lisätietoja antaa tietoturvallisuusasiantuntija Aku Hilve, JulkICT-toiminto.
Henna Virkkunen
Hallinto- ja kuntaministeri    

Mikael  Kiviniemi
Yksiön päällikkö                 
VAHTin puheenjohtaja

Tiivistelmä

Valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010) edellytetään jo perustason tietoturvallisuutta toteutettaessa, että asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja (TTA 5 §). Asetus edellyttää lisäksi korotetun ja korkean tason käsittely-ympäristöiltä erillisiä suojaustoimia. Tämän VAHTI-ohjeen näkökulmana on kyseisten vaatimusten toimeenpanon tukeminen valtionhallinnossa.

Alati lisääntyvä kansainvälinen yhteistyö tuo mukanaan vaatimuksen ottaa huomioon kansainvälisten yhteistyökumppaneiden – olivatpa nämä sitten itsenäisiä oikeusvaltioita tai kansainvälisiä organisaatioita – turvallisuusluokitellun tiedon käsittelylle asettamat vaatimukset. Usein nämä vaatimukset näkyvät konkreettisimmillaan tiedon käsittely- ja säilytysympäristöihin kohdistuvina vaateina. Laki kansainvälisistä tietoturvallisuusvelvoit teista (588/2004) edellyttää, että Suomi valtiona noudattaa toiminnassaan niitä turvallisuusvelvoitteita, joihin se kansainvälisen yhteistyön myötä on sitoutunut. Velvoitepohjana toimivat näissä tapauksissa tyypillisesti joko tietoturvallisuutta säätävät valtiosopimukset tai Suomen valtiona muilla tavoin hyväksymät kansainväliset turvallisuussäännöstöt.

Valtionhallinto on suomalaisen elinkeinoelämän kannalta merkittävä työllistäjä. Valtionhallinnon hankkeisiin, samoin kuin turvallisuusluokiteltua tietoa sisältäviin kansainvälisiin hankkeisiin liittyy usein lainsäädännön sanelema tarve solmia turvallisuussopimuksia valituksi tulleiden elinkeinoelämän toimijoiden kanssa. Ennen turvallisuussopimuksen allekirjoittamista valtionhallinto arvioi elinkeinonharjoittajan turvallisuustason. Tätä tarkoitusta varten on laadittu viranomaisten ja elinkeinoelämän yhteistyönä kansallinen turvallisuusauditointikriteeristö (KATAKRI), jonka ylläpidosta vastaa sisäasiainministeriö. Auditointikriteeristö sisältää yksityiskohtaisia toimitilaturvallisuusvelvoitteita, joiden sisältö on mahdollisimman pitkälle otettu huomioon myös tässä ohjeessa.

Ohjetta laadittaessa on huomioitu VAHTI:n vuonna 2012 julkaisema ICT-varautumisen vaatimukset ohje, jonka sisältöä tämä ohje täydentää yksityiskohtaisemmilla vaatimuksilla. Osa valtionhallinnon toimijoista on laatinut hallinnonalakohtaisia fyysisen turvallisuuden tai toimitilaturvallisuuden vaatimusasiakirjoja. Näiden asiakirjojen vähimmäisvaatimukset on pyritty ottamaan huomioon tätä ohjetta laadittaessa. Salassa pidettävän tiedon siirtyessä valtionhallinnon toimijalta toiselle yhteisillä turvallisuusvaatimuksilla varmistetaan tiedon suojaustason mukainen oikea käsittely.

Tämän ohjeen sisältämät linjaukset on suositeltavaa ottaa käyttöön hallinnonaloja ja virastoja koskevina soveltamisohjeina sekä suunniteltaessa uusia tietoteknisiä laitetiloja. Tietoteknisten laitetilojen turvallisuutta on aiemmin ohjeistettu erillisellä VAHTI-ohjeella (1/2002), jonka voimassaolo päättyy nyt julkaistavan ohjeen myötä.

Ohje on laadittu VAHTI:n alaisessa hankeryhmässä, jonka jäseninä ovat toimineet: Jani Arnell, Karl Gädda, Aku Hilve (puheenjohtaja), Heikki Hovi, Hellevi Huhanantti, Kari Hurske, Juha Ilkka, Kimmo Janhunen, Olli Jokinen, Reijo Kaariste, Marko Kalliokoski, Kai Knape, Tero Lampén (30.9.2012 asti), Mikko Nissinen, Jari Panhelainen, Pauliina Pekonen, Sakari Perkiömäki, Jaakko Ritola, Kari Santalahti, Aki Tauriainen, Heikki Toivonen, Isto Turpeinen, Iina Vuorialho, Erkki Väätäinen ja Juha Åberg. Työssä käytettiin konsulttina Kesec Ky:tä.