VAHTI 5/2013 Päätelaitteiden tietoturvaohje
Ministeriöille, virastoille ja laitoksille
Päätelaitteiden tietoturvaohje
Oheisen valtiovarainministeriön antaman päätelaitteiden tietoturvaohjeen (VAHTI 5/2013) tarkoituksena on toimeenpanna tietoturvallisuusasetuksen vaatimuksia valtionhallinnon päätelaitteissa sekii yhdenmukaistaa päätelaitteiden suojauskäytäntöjä tietojen käsittelyssä. Ohje antaa linjauksia päätelaitteiden käytön suunnittelulle ja ohjeistamiselle seka olemassa olevien päätelaitteiden ja palveluiden käyttämiseen liittyvien riskien arvioimiselle ja hallinnalle.
Ohje tukee organisaatioita valtion tietoturvallisuutta koskevan valtioneuvoston periaatepäätöksen (26.11.2009) ja Suomen kyberturvallisuusstrategian 2013 täytäntöönpanossa. Ohje on valmisteltu valtiovarainministeriön asettaman Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) toimesta.
Ohjeessa kuvataan nykyaikaisten päätelaitteiden ja niihin liittyvien palveluiden tyypillisiä uhkia seka annetaan suuntaviivoja ja hyviä käytantöjä riskien arvioimisen tueksi, turvallisen käytön mahdollistamiseksi seka salassa pidettävien ja muiden tietojen turvaamiseksi.
Ohje tukee ja täydentää olemassa olevia VAHTI-ohjeita. Ohjetta suositellaan hyödynnettäväksi koko julkisessa hallinnossa. Ohje korvaa Älypuhelimien tietoturvalIisuus - hyvät käytännöt VAHTI-ohjeen (VAHTI 2/2007) seka täsmentää Sisäverkko-ohjeen lukua 13 (VAHTI 3/2010) ja Teknisen ICT-ympäristöjen tietoturvataso-ohjeen (VAHTI 3/2012) vaatimuksia päätelaitteidenosalta.
Tätä ohjetta voidaan käyttää sellaisenaan tai organisaatioiden omien ohjeiden tukena. Ohje julkaistaan VAHTin intemet-sivuilla. Lisatietoja antavat valtiovarainministeriön tietoturvallisuusasiantuntija Aku Hilve, erityisasiantuntija Aame Hummelholm, erityisasiantuntija Kimmo Janhunen ja neuvotteleva virkamies Tuomo Pigg (etunimi.sukunimi@vm.fi ).
Hallinto- ja kuntaministeri
Henna Virkkunen
Yksikön päällikkö
Mikael Kiviniemi
VAHTin puheenjohtaja
Lyhyesti VAHTI:sta
Valtiovarainministeriö ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tieto- ja kyberturvallisuuden linjaukset ja niiden tietoturvatoimenpiteiden ohjausasiat. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.
VAHTI:n tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.
VAHTI edistää hallitusohjelman, Yhteiskunnan turvallisuusstrategian (YTS), Julkisen hallinnon ICT-strategian, valtioneuvoston huoltovarmuuspäätöksen, valtioneuvoston periaatepäätöksen valtion tietoturvallisuuden kehittämisestä ja hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä valtion tietoturvallisuutta ja siihen liittyvää yhteistyötä.
Valtioneuvosto teki 26.11.2009 periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä. Periaatepäätös korostaa VAHTI:n asemaa ja tehtäviä hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elimenä. Periaatepäätöksen mukaisesti hallinnonalat kohdistavat varoja ja resursseja tietoturvallisuuden kehittämiseen ja VAHTI:ssa koordinoitavaan yhteistyöhön.
VAHTI:n toiminnalla parannetaan valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on kansainvälisestikin verrattuna merkittäväksi katsottava yleinen tietoturvallisuusohjeisto (www.vm.fi/vahti ja www.vahtiohje.fi).
Tiivistelmä
Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) edellyttää tietoturvallisuuden perustason saavuttamista kaikilta valtionhallinnon virastoilta ja laitoksilta. Mikäli organisaatio on tehnyt tietojen luokittelupäätöksen, asetus edellyttää myös tietoturvallisuuden korotetun ja korkean tason tietojenkäsittelyn suojaustoimia ja menettelyitä silloin kun käsitellään suojaustasojen I, II tai III tietoja. Tämän VAHTI-ohjeen näkökulmana on eri tietoturvatasojen hallinnan sekä salassa pidettävien tietojen vaatimusten toimeenpanon tukeminen päätelaitekäytössä.
Ohjetta laadittaessa on huomioitu VAHTI:n vuonna 2012 julkaisema Teknisten ICT-ympäristön tietoturvataso-ohje (VAHTI 3/2012), jonka sisältöä tämä ohje täydentää sekä täsmentää vaatimuksia päätelaitteiden vaatimusten osalta. Tämä ohje korvaa Älypuhelimien tietoturvallisuus - hyvät käytännöt -ohjeen (VAHTI 2/2007) sekä täsmentää Sisäverkko-ohjeen luvun 13 (VAHTI 3/2010), sen vaatimukset 13.1-13.12 ja Teknisen ICT-ympäristöjen tietoturvataso-ohjeen (VAHTI 3/2012) vaatimuksia päätelaitteiden osalta.
Osa valtionhallinnon organisaatioista on ottanut käyttöön uusia työskentelytapoja, päätelaitteita sekä niihin liittyviä palveluita. Tämän ohjeen avulla valtionhallinnon organisaatiot voivat niitä käyttäessään ja käyttöä suunnitellessaan arvioida ja ottaa huomioon salassa pidettävien tietojen käsittelyn turvallisuuden erilaisissa käyttötapauksissa. Salassa pidettävän tiedon siirtyessä valtionhallinnon organisaatiolta toiselle, yhteisillä turvallisuusvaatimuksilla varmistetaan tiedon turvallisuuden pysyminen sillä tasolla, minkä tiedon omistaja on sille asettanut. Valtionhallinnon organisaation tulee huomioida näiden turvallisuusvaatimusten varmistaminen myös yhteistyökumppaneidensa ja asiakkaidensa kanssa tapahtuvassa salassa pidettävien tietojen käsittelyssä ja vaihdossa. On suositeltavaa, että tämän ohjeen sisältämät linjaukset otetaan käyttöön hallinnonaloja ja virastoja koskevissa soveltamisohjeissa sekä organisaatioidensuunnitellessa uusien päätelaitteiden ja niihin liittyvien palveluiden käyttöönottoja. Eri suojaustason tietojen käsittely edellyttää kyseiselle suojaustasolle asetettujen vaatimusten varmistamista myös päätelaitteilla ja niihin liittyvissä palveluissa tapahtuvassa tietojen käsittelyssä. Joissain tapauksissa tietojärjestelmän tai palvelun teknisillä ratkaisuilla voidaan kompensoida tiettyjen päätelaitteiden tietojen suojauksen tai hallinnan puutteita, tai rajata salassa pidettävien tietojen käsittelyä päätelaitteilla. Näin pienentyneiden riskien ansiosta voidaan tarvittaessa mahdollistaa tiettyjen käyttötapausten salliminen valituille päätelaitteille. Tämä tehdään aina riskien arvioinnin kautta, jossa on huomioitava muun muassa kohderyhmän (loppukäyttäjien, pääkäyttäjien, yhteistyökumppaneiden ja asiakkaiden) kannalta tarpeelliset käyttötapaukset sekä näissä muodostuva rajattu tietojenkäsittely-ympäristö, joka sisältää päätelaitteiden ja palveluiden lisäksi tarvittavat tietojärjestelmät, verkot sekä tilat.
Ohje on laadittu VAHTI:n alaisessa hankeryhmässä, jonka jäseninä ovat toimineet:
• Kimmo Janhunen, valtiovarainministeriö (Oikeusrekisterikeskus 31.10.2013 saakka), ryhmän puheenjohtaja
• Aku Hilve, valtiovarainministeriö, ryhmän varapuheenjohtaja
• Tuomo Pigg, valtiovarainministeriö
• Tommi Simula, Valtiokonttori
• Teemu Kuparinen, Valtiokonttori
• Tommi Welling, Valtiokonttori
• Sauli Pahlman, Viestintävirasto
• Jyrki Kokkinen, Aalto yliopisto
• Aarne Koutaniemi, tasavallan presidentin kanslia
• Pekka Vähämäki, Maanmittauslaitos
• Jussi Salminen, Tullihallitus.
Ohjeen laadintaan osallistuivat konsultteina KPMG:n asiantuntijat Matti Järvinen ja Antti Alestalo.
Ohjeen luonnos oli laajalla lausuntokierroksella 16.9.2013 – 2.10.2013. Saadut lausunnot käsiteltiin työryhmän kokouksessa 9.10.2013 ja huomioitiin ohjeen lopullisessa versiossa.
VAHTI päätti ohjeen julkistamisesta lokakuussa 2013 pidetyssä kokouksessaan.