VAHTI 3/2011 Valtion ICT-hankintojen tietoturvaohje

VALTION ICT-HANKINTOJEN TIETOTURVAOHJE

Valtion ICT-hankintojen tietoturvaohjeen (VAHTI 3/2011) tarkoituksena on parantaa ICT-hankintojen tietoturvallisuuden arviointia ja elinkaaren kattavaa tietoturvallisuuden varmistamista. Ohje myös auttaa hankintoja tekeviä organisaatioita hallitsemaan hankintaan liittyviä tietoriskejä ja parantamaan toiminnan jatkuvuutta. Ohje tukee organisaatioita valtion tietoturvallisuutta koskevan valtioneuvoston periaatepäätöksen (26.11.2009) toimeenpanossa ICT-hankintojen osalta.

Ohje on valmisteltu valtiovarainministeriön asettaman Valtionhallinnon tietoturvallisuuden johtoryhmän VAHTIn toimesta. Ohje korvaa aiemmin käytössä olleen Valtion tietotekniikkahankintojen tietoturvallisuuden tarkistuslistan (VAHTI 6/2001). Ohje tukee ja täydentää olemassa olevia VAHTI-ohjeita ja julkisen hallinnon tietohallinnon JHS-suosituksia. ICT-palveluita hankittaessa organisaatioiden tulee kiinnittää huomiota tietoturvallisuuteen, ICT-varautumiseen, palvelun laatuun ja kustannustehokkuuteen.

Ohje auttaa organisaatioita ottamaan ICT-hankinnoissa huomioon tietoturvallisuutta koskevat lakisääteiset velvoitteet, ohjeet ja muut viitekehykset. Hankinnoissa tulee huolehtia valtionhallinnon tietoturvallisuusasetuksen (681/2010), tietoturvatasojen ja ICT-varautumisen vaatimusten lisäksi hankinnan kohteeseen liittyvistä vaatimuksista. Ohjeen avulla organisaatiot voivat sisällyttää tietoturvatasojen vaatimukset hankintoihin.

Erityisesti niiden organisaatioiden, joiden toimintaan sisältyy yhteiskunnan turvallisuusstrategian mukaisia elintärkeiden turvaamisen tehtäviä, tulee varmistaa tietoturvallisuusnäkökohtien sisällyttäminen ICT-hankintoihin ja niiden elinkaareen.

Ohjetta sovelletaan pääasiassa silloin, kun palveluita hankitaan markkinatoimijoilta. Ohjetta suositellaan noudatettavaksi myös silloin, kun palveluita hankitaan Hanselin puitesopimusten avulla.

Hallinto- ja kuntaministeri:
Henna Virkkunen

Valtion IT-johtaja:
Mikael Kiviniemi
VAHTIn puheenjohtaja

Lyhyesti VAHTIsta

Valtiovarainministeriö ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tietoturvallisuuden linjaukset ja tietoturvatoimenpiteiden ohjausasiat. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.

VAHTIn tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.

VAHTI edistää hallitusohjelman, Yhteiskunnan turvallisuusstrategian (YTS), valtion IT-strategian, valtioneuvoston huoltovarmuuspäätöksen, kansallisen tietoturvastrategian, valtioneuvoston periaatepäätöksen valtion tietoturvallisuuden kehittämisestä ja hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä valtion tietoturvallisuutta ja siihen liittyvää yhteistyötä.

Valtioneuvosto teki 26.11.2009 periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä. Periaatepäätös korostaa VAHTIn asemaa ja tehtäviä hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elimenä. Peiaatepäätöksen mukaisesti hallinnonalat kohdistavat varoja ja resursseja tietoturvallisuuden kehittämiseen ja VAHTIssa koordinoitavaan yhteistyöhön.

VAHTI toimii hallinnon tietoturvallisuuden ja tietosuojan kehittämisestä ja ohjauksesta astaavien hallinnon organisaatioiden yhteistyö-, valmistelu- ja koordinaatioelimenä sekä edistää verkostomaisen toimintatavan kehittämistä julkishallinnon tietoturvatyössä.

VAHTIn toiminnalla parannetaan valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on aikaansaatu yksi maailman kattavimmista yleisistä tietoturvaohjeistoista (www.vm.fi/vahti). Valtiovarainministeriön ja VAHTIn johdolla on menestyksellisesti toteutettu useita ministeriöiden ja virastojen tietoturvayhteishankkeita sekä laaja valtion tietoturvallisuuden kehitysohjelma.

VAHTI on saanut kolme kertaa tunnustuspalkinnon esimerkillisestä toiminnastaan Suomen tietoturvallisuuden parantamisessa.

Tiivistelmä

Viime vuosina ICT-hankinnoissa, kuten muussakin valtionhallinnon toiminnassa ja ICT-palveluiden tuottamisessa, on tapahtunut merkittäviä muutoksia. Esimerkkinä tästä on palveluiden ulkoistaminen joko valtionhallinnon sisällä tai hyödyntäen kaupallisten toimijoiden tuottamia ratkaisuja.

Nopeasti uudistuva ICT-teknologia luo haasteita hankinnoille. Palveluiden tuotannossa pilvipalveluiden, jaetun kapasiteetin ja virtualisoitujen palvelimien hyödyntäminen on mullistanut palvelinarkkitehtuurin, vastaavanlaisia muutoksia on tulossa myös työasemapuolella. Käyttö- ja sovelluspalveluita tuottavilla toimittajilla merkittävin muutos on liittynyt palveluiden tuotantomalliin; jaetun kapasiteetin ohella palveluiden tuottamisessa on alettu hyödyntää myös Suomen ulkopuolella sijaitsevia palvelukeskuksia ja työvoimaa.

Erityisesti valtionhallinnossa tulee huolellisesti valvoa, miten toimittaja voi täyttää tietoturvallisuusasetukseen ja tietoturvatasoihin sekä valtioneuvoston periaatepäätökseen huoltovarmuudesta liittyvät vaatimukset toteuttaessaan palveluita Suomen ulkopuolelta.

Tietoturvallisuuteen liittyvät uudet vaatimukset tulee huomioida ICT-hankinnoissa; niissä tulee huolehtia tietoturvallisuusasetuksen, tietoturvatasojen ja ICT-varautumisen vaatimusten ohella hankinnan kohteeseen liittyvistä substanssikohtaisista vaatimuksista. Tämän ohella tulee harkita käytettäväksi myös muita vaatimuskriteereitä, esimerkiksi Kansallista turvallisuusauditointikriteeristöä (KATAKRI) siinä tapauksessa kun hankinnan kohteeseen liittyy kansainvälisten turvallisuusluokiteltujen tietoaineistojen käsittelyä tai kohde muuten liittyy Suomen valtion turvallisuuteen. Yhteiskunnan turvallisuusstrategiassa (YTS) on linjattu yhteiskunnan kannalta kriittisiä toimintoja, joiden avulla yhteiskunnan toimivuus tulee taata sekä normaaliolojen häiriötilanteissa että poikkeusoloissa. Niiden organisaatioiden, joiden toimintaan kuuluu yhteiskunnalle elintärkeiden toimintojen turvaaminen, tulee ottaa nämä velvoitteet huomioon ICT-hankintoja tehdessään.

Tämä ohje sisältää edellä mainittuihin asioihin liittyvää ohjeistusta, mutta se ei ole kaiken kattava, yksityiskohtainen hankintaohje. Tämän ohjeen liitteisiin on koottu esimerkkejä hyvistä käytännöistä sekä tarkistuslistoja..

Edellä mainitun tietoturvallisuusasetuksen velvoitteet koskevat vain valtionhallintoa, mutta ohjetta voidaan hyödyntää myös muualla julkishallinnossa. Ohjetta sovelletaan pääasiassa silloin, kun palveluita hankitaan avoimilta markkinoilta. Ohjeessa ei kuvata hankinnassa huomioitavia tekijöitä valtionhallinnon viranomaisten hankkiessa palveluita toiselta valtionhallinnon organisaatiolta. Ohjetta tulee noudattaa myös silloin, kun palveluita hankitaan Hanselin puitesopimusten avulla käyttäen ns. kevennettyä kilpailutusta (”minikilpailutus”).

Ohje on laadittu VAHTIn alaisessa hankeryhmässä, jonka jäseninä ovat toimineet: Jarkko Hallikainen, Sami Hyytiäinen, Outi Jousi, Riku Jylhänkangas, Urpo Kaila, Timo Kerttula, Erja Kinnunen, Ari Koivumaa, Karolina Lehto, Marja Rantala, Timo Rantanen, Kimmo Rousku, Jouni Satopää ja Pekka Somerkoski.

VAHTI päätti ohjeen julkaisemisesta kokouksessaan marraskuussa 2011.

Päivitetty: 9.6.2020