VAHTI 3/2010 Sisäverkko-ohje

SISÄVERKKO-OHJE

Valtiovarainministeriön (VM) Sisäverkko-ohjeen tavoitteena on yhtenäistää ja tehostaa menettelyitä sisäverkkojen rakentamisessa sekä tukea sopivan tietoturvatason käyttöönottoa organisaatioissa. Ohje korvaa valtiovarainministeriön vuonna 2001 antaman suosituksen lähiverkkojen tietoturvallisuudesta (VAHTI 2/2001). Sisäverkkoohjetta tulee hyödyntää yhdessä VM:n aiemmin antaman tietoturvallisuusasetuksen täytäntöönpanon yleisohjeen VAHTI 2/2010 kanssa.


Sisäverkon tietoturvaohje on soveltamisohje 1.10.2010 voimaantulleelle Valtioneuvoston asetukselle tietoturvallisuudesta valtionhallinnossa (1.7.2010/681, jäljempänä tietoturvallisuusasetus). Tietoturvallisuusasetukseen sisältyvien siirtymäaikasäännösten mukaan viranomaisen on saatettava tietojenkäsittelynsä vastamaan asetuksen 5 §:ssä säädettyjä perustason tietoturvavaatimuksia kolmen vuoden kuluessa asetuksen voimaantulosta eli 30.9.2013 mennessä.


Asiakirjojen ja tietoaineistojen luokituksen on määrä helpottaa viranomaisten välistä salassa pidettävien tietojen vaihtoa. Luokittelua vastaavat vaatimukset on toteutettava viiden vuoden kuluessa siitä, kun luokittelu otetaan käyttöön viranomaisessa. Sisäverkon tietoturvaohje on tarkoitettu valtionhallinnon sisäverkkojen rakenteesta, rakentamisesta ja tietoturvallisuudesta vastaaville. Ohjetta käytetään sisäverkkoja rakennettaessa sekä niiden ulkoistuksissa ja tietoturva-auditoinneissa, ja siihen sisältyy sisäverkkoja koskevat perus-, korotetun ja korkean tietoturvatason linjaukset. Ohjeessa kerrotaan myös kuhunkin verkon osa-alueeseen liittyvät uhat ja taustoitetaan näitä teknisesti. Myös kansainvälisiä tietoaineistoja koskevia käsittelyvaatimuksia on otettu huomioon.


Viraston johdon tulee huolehtia ohjeen noudattamisesta ja siitä, että sisäverkkojen vastuuhenkilöt tuntevat ohjeen sisällön. Ohjeen mukaisella toiminnalla viranomainen voi saavuttaa sisäverkoissaan asetuksen mukaiset tietoturvatasot sekä tasapainottaa riskienhallinnan ja kustannustehokkuuden.

Lyhyesti VAHTIsta

Valtiovarainministeriö ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden linjaukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta. VAHTI edistää hallitusohjelman, Yhteiskunnan elintärkeiden toimintojen strategian (YETT), valtion IT-strategian, valtioneuvoston huoltovarmuuspäätöksen, kansallisen tietoturvastrategian, valtioneuvoston periaatepäätöksen valtion tietoturvallisuuden kehittämisestä ja hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä valtion tietoturvallisuutta ja siihen liittyvää yhteistyötä.

Valtioneuvosto teki 26.11.2009 periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä. Periaatepäätös korostaa VAHTIn asemaa ja tehtäviä hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elimenä. Peiaatepäätöksen mukaisesti hallinnonalat kohdistavat varoja ja resursseja tietoturvallisuuden kehittämiseen ja VAHTIssa koordinoitavaan yhteistyöhön.

VAHTI toimii hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta astaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä sekä edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä. VAHTIn toiminnalla parannetaan valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti.

Tuloksena on aikaansaatu yksi maailman kattavimmista yleisistä tietoturvaohjeistoista (www.vm.fi/vahti). VM:n ja VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishankkeita sekä laaja valtion tietoturvallisuuden kehitysohjelma.

Johdon yhteenveto

Tämä ohje on tarkoitettu valtionhallinnon sisäverkkojen rakenteesta, rakentamisesta ja tietoturvallisuudesta vastaaville. Ohjetta käytetään sisäverkkoja rakennettaessa sekä niiden ulkoistuksissa ja tietoturva-auditoinneissa. Viraston johdon tulee huolehtia ohjeen noudattamisesta ja siitä, että alueen vastuuhenkilöt tuntevat ohjeen sisällön.

Sisäverkon tietoturvaohje on soveltamisohje 1.10.2010 voimaantulleelle Valtioneuvoston asetukselle tietoturvallisuudesta valtionhallinnossa (1.7.2010/681, jäljempänä tietoturvallisuusasetus). Tietoturvallisuusasetusta sovelletaan valtion viranomaisiin, joilla tarkoitetaan valtion hallintoviranomaisia sekä muita virastoja ja laitoksia. Ohje korvaa valtiovarainministeriön vuonna 2001 antaman suosituksen lähiverkkojen tietoturvallisuudesta (VAHTI 2/2001).


Ohjeen tavoitteena on yhtenäistää menettelyitä sisäverkkojen rakentamisessa sekä tukea sopivan tietoturvatason käyttöönottoa organisaatioissa. Ohjeessa sisäverkolla tarkoitetaan viraston toimipisteiden paikallisten lähiverkkojen ja niitä yhdistävien verkkojen muodostamaa kokonaisuutta. Sisäverkon tietoturvaohjeessa kerrotaan kuhunkin verkon osa-alueeseen liittyvät uhat ja taustoitetaan näitä teknisesti. Kullekin osa-alueelle annetaan suositukset, vahvat suositukset sekä vaatimukset tietoturvallisuuteen liittyville varotoimille perus-, korotetulle ja korkealle tietoturvatasolle.


Käsiteltäviä osa-alueita ovat yhteistyökumppaniyhteydet, verkon kaapelointi, langattomat verkot, aktiivilaitteet, sisäverkon yhteydet, päätelaitteet, palvelut, tunnistautuminen, verkon hallinta ja valvonta sekä jatkuvuussuunnittelu.

Sisäverkon tietoturvaohje on tarkoitettu käytettäväksi seuraavissa asiayhteyksissä

  • Tietoturvallisuusasetuksen soveltaminen: Tämä sisäverkon tietoturvaohje antaa suositukset ja vaatimukset sisäverkon tietoturvallisuuden varotoimiin.
  • Sisäverkon rakentaminen: Uusi sisäverkko on rakennettava ohjeen mukaan ja sen mukaista toteutusta on vaadittava verkon rakentamiseen liittyvissä kilpailutuksissa.
  • ICT-alueen ulkoistukset: Ulkoistettaessa verkkoon liittyviä toimintoja, tarjouspyynnöissä ja palveluissa on vaadittava, että tuotettava palvelu on vähintään ohjeen mukainen.
Päivitetty: 9.6.2020