VAHTI 2/2013 Toimitilojen tietoturvaohje
Ministeriöille, virastoille ja laitoksille
Toimitilojen tietoturvaohje
Toimitilojen tietoturvaohjeen (VAHTI 2/2013) tarkoituksena on osaltaan tukea tietoturvallisuudesta valtionhallinnossa annetun asetuksen (681/2010) täytäntöönpanoa.
Ohje antaa suuntaviivoja sekä rakentamissuunnittelulle, että olemassa olevien toimitilojen turvallisuutta parantaville ratkaisuille. Ohje edisää salassa pidettävän tiedon säädösten ja linjausten mukaista käsittelyä ja säilytystä valtionhallinnossa. Ohje vahvistaa osaltaan valtionhallinnon tietoturvallisuuden kehittämisestä annetun valtioneuvoston periaatepäätöksen (26.11.2009) toimeenpanoa ja antaa lisäksi perusteita virastokohtaisten sovellusohjeiden laatimiselle.
Ohje on valmisteltu valtiovarainministeriön asettaman ja johtaman Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) toimeksiannosta ja ohjauksessa. Ohje tukee ja täydentää laajaa olemassa olevaa VAHTI-ohjeistoa. Ohje korvaa Tietoteknisten laitetilojen turvallisuussuosituksen (VAHTI 1/2002).
Ohje auttaa organisaatioita ottamaan huomioon lakisääteiset ja kansainvälisten turvallisuussäännöstöjen asettamat toimitilaturvallisuuden vaatimukset. Organisaatioita pyydetään käyttämään ohjetta hyväksi erityisesti toimitilojen muutostilanteissa.
Lisätietoja antaa tietoturvallisuusasiantuntija Aku Hilve, JulkICT-toiminto.
Henna Virkkunen
Hallinto- ja kuntaministeri
Mikael Kiviniemi
Yksiön päällikkö
VAHTin puheenjohtaja
Tiivistelmä
Valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010) edellytetään jo perustason tietoturvallisuutta toteutettaessa, että asiakirjojen tietojenkäsittely- ja säilytystilat ovat riittävästi valvottuja ja suojattuja (TTA 5 §). Asetus edellyttää lisäksi korotetun ja korkean tason käsittely-ympäristöiltä erillisiä suojaustoimia. Tämän VAHTI-ohjeen näkökulmana on kyseisten vaatimusten toimeenpanon tukeminen valtionhallinnossa.
Alati lisääntyvä kansainvälinen yhteistyö tuo mukanaan vaatimuksen ottaa huomioon kansainvälisten yhteistyökumppaneiden – olivatpa nämä sitten itsenäisiä oikeusvaltioita tai kansainvälisiä organisaatioita – turvallisuusluokitellun tiedon käsittelylle asettamat vaatimukset. Usein nämä vaatimukset näkyvät konkreettisimmillaan tiedon käsittely- ja säilytysympäristöihin kohdistuvina vaateina. Laki kansainvälisistä tietoturvallisuusvelvoit teista (588/2004) edellyttää, että Suomi valtiona noudattaa toiminnassaan niitä turvallisuusvelvoitteita, joihin se kansainvälisen yhteistyön myötä on sitoutunut. Velvoitepohjana toimivat näissä tapauksissa tyypillisesti joko tietoturvallisuutta säätävät valtiosopimukset tai Suomen valtiona muilla tavoin hyväksymät kansainväliset turvallisuussäännöstöt.
Valtionhallinto on suomalaisen elinkeinoelämän kannalta merkittävä työllistäjä. Valtionhallinnon hankkeisiin, samoin kuin turvallisuusluokiteltua tietoa sisältäviin kansainvälisiin hankkeisiin liittyy usein lainsäädännön sanelema tarve solmia turvallisuussopimuksia valituksi tulleiden elinkeinoelämän toimijoiden kanssa. Ennen turvallisuussopimuksen allekirjoittamista valtionhallinto arvioi elinkeinonharjoittajan turvallisuustason. Tätä tarkoitusta varten on laadittu viranomaisten ja elinkeinoelämän yhteistyönä kansallinen turvallisuusauditointikriteeristö (KATAKRI), jonka ylläpidosta vastaa sisäasiainministeriö. Auditointikriteeristö sisältää yksityiskohtaisia toimitilaturvallisuusvelvoitteita, joiden sisältö on mahdollisimman pitkälle otettu huomioon myös tässä ohjeessa.
Ohjetta laadittaessa on huomioitu VAHTI:n vuonna 2012 julkaisema ICT-varautumisen vaatimukset ohje, jonka sisältöä tämä ohje täydentää yksityiskohtaisemmilla vaatimuksilla. Osa valtionhallinnon toimijoista on laatinut hallinnonalakohtaisia fyysisen turvallisuuden tai toimitilaturvallisuuden vaatimusasiakirjoja. Näiden asiakirjojen vähimmäisvaatimukset on pyritty ottamaan huomioon tätä ohjetta laadittaessa. Salassa pidettävän tiedon siirtyessä valtionhallinnon toimijalta toiselle yhteisillä turvallisuusvaatimuksilla varmistetaan tiedon suojaustason mukainen oikea käsittely.
Tämän ohjeen sisältämät linjaukset on suositeltavaa ottaa käyttöön hallinnonaloja ja virastoja koskevina soveltamisohjeina sekä suunniteltaessa uusia tietoteknisiä laitetiloja. Tietoteknisten laitetilojen turvallisuutta on aiemmin ohjeistettu erillisellä VAHTI-ohjeella (1/2002), jonka voimassaolo päättyy nyt julkaistavan ohjeen myötä.
Ohje on laadittu VAHTI:n alaisessa hankeryhmässä, jonka jäseninä ovat toimineet: Jani Arnell, Karl Gädda, Aku Hilve (puheenjohtaja), Heikki Hovi, Hellevi Huhanantti, Kari Hurske, Juha Ilkka, Kimmo Janhunen, Olli Jokinen, Reijo Kaariste, Marko Kalliokoski, Kai Knape, Tero Lampén (30.9.2012 asti), Mikko Nissinen, Jari Panhelainen, Pauliina Pekonen, Sakari Perkiömäki, Jaakko Ritola, Kari Santalahti, Aki Tauriainen, Heikki Toivonen, Isto Turpeinen, Iina Vuorialho, Erkki Väätäinen ja Juha Åberg. Työssä käytettiin konsulttina Kesec Ky:tä.