VAHTI 5/2013 Päätelaitteiden tietoturvaohje

Ministeriöille, virastoille ja laitoksille

Päätelaitteiden  tietoturvaohje

Oheisen valtiovarainministeriön antaman päätelaitteiden tietoturvaohjeen (VAHTI 5/2013) tarkoituksena on toimeenpanna tietoturvallisuusasetuksen  vaatimuksia valtionhallinnon päätelaitteissa sekii yhdenmukaistaa päätelaitteiden suojauskäytäntöjä tietojen käsittelyssä. Ohje antaa linjauksia päätelaitteiden käytön suunnitte­lulle ja ohjeistamiselle seka olemassa olevien päätelaitteiden ja palveluiden käyttämiseen liittyvien riskien arvioimiselle ja  hallinnalle.

Ohje tukee organisaatioita valtion tietoturvallisuutta  koskevan valtioneuvoston pe­riaatepäätöksen (26.11.2009) ja Suomen kyberturvallisuusstrategian  2013 täytäntöönpanossa. Ohje on valmisteltu valtiovarainministeriön  asettaman Valtionhallin­non tietoturvallisuuden johtoryhmän  (VAHTI) toimesta.

Ohjeessa kuvataan nykyaikaisten päätelaitteiden ja niihin liittyvien palveluiden tyypillisiä uhkia seka annetaan suuntaviivoja ja hyviä käytantöjä riskien arvioimi­sen tueksi, turvallisen käytön mahdollistamiseksi seka salassa pidettävien ja muiden tietojen turvaamiseksi.

Ohje tukee ja täydentää olemassa olevia VAHTI-ohjeita. Ohjetta suositellaan hyödynnettäväksi koko julkisessa  hallinnossa. Ohje korvaa Älypuhelimien tietoturval­Iisuus - hyvät käytännöt VAHTI-ohjeen (VAHTI 2/2007) seka täsmentää Sisäverkko-ohjeen lukua 13 (VAHTI 3/2010) ja Teknisen ICT-ympäristöjen tietoturvataso-ohjeen (VAHTI 3/2012) vaatimuksia päätelaitteidenosalta.

Tätä ohjetta voidaan käyttää sellaisenaan tai organisaatioiden omien ohjeiden tu­kena. Ohje julkaistaan VAHTin intemet-sivuilla. Lisatietoja antavat valtiovarain­ministeriön tietoturvallisuusasiantuntija  Aku Hilve, erityisasiantuntija  Aame Hummelholm, erityisasiantuntija Kimmo Janhunen ja neuvotteleva virkamies Tuomo Pigg (etunimi.sukunimi@vm.fi ).

Hallinto- ja kuntaministeri

Henna Virkkunen

Yksikön päällikkö                                      

Mikael Kiviniemi

VAHTin puheenjohtaja

Lyhyesti VAHTI:sta

Valtiovarainministeriö ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin. VAHTI käsittelee kaikki merkittävät valtionhallinnon tieto- ja kyberturvallisuuden linjaukset ja niiden tietoturvatoimenpiteiden ohjausasiat. VAHTI tukee toiminnallaan valtioneuvostoa ja valtiovarainministeriötä hallinnon tietoturvallisuuteen liittyvässä päätöksenteossa ja sen valmistelussa.

VAHTI:n tavoitteena on tietoturvallisuutta kehittämällä parantaa valtionhallinnon toimintojen luotettavuutta, jatkuvuutta, laatua, riskienhallintaa ja varautumista sekä edistää tietoturvallisuuden saattamista kiinteäksi osaksi hallinnon toimintaa, johtamista ja tulosohjausta.

VAHTI edistää hallitusohjelman, Yhteiskunnan turvallisuusstrategian (YTS), Julkisen hallinnon ICT-strategian, valtioneuvoston huoltovarmuuspäätöksen, valtioneuvoston periaatepäätöksen valtion tietoturvallisuuden kehittämisestä ja hallituksen muiden keskeisten linjausten toimeenpanoa kehittämällä valtion tietoturvallisuutta ja siihen liittyvää yhteistyötä.

Valtioneuvosto teki 26.11.2009 periaatepäätöksen valtionhallinnon tietoturvallisuuden kehittämisestä. Periaatepäätös korostaa VAHTI:n asemaa ja tehtäviä hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elimenä. Periaatepäätöksen mukaisesti hallinnonalat kohdistavat varoja ja resursseja tietoturvallisuuden kehittämiseen ja VAHTI:ssa koordinoitavaan yhteistyöhön.

VAHTI:n toiminnalla parannetaan valtion tietoturvallisuutta ja työn vaikuttavuus on nähtävissä hallinnon ohella myös yrityksissä ja kansainvälisesti. Tuloksena on kansainvälisestikin verrattuna merkittäväksi katsottava yleinen tietoturvallisuusohjeisto (www.vm.fi/vahti ja www.vahtiohje.fi).

Tiivistelmä

Valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010) edellyttää tietoturvallisuuden perustason saavuttamista kaikilta valtionhallinnon virastoilta ja laitoksilta. Mikäli organisaatio on tehnyt tietojen luokittelupäätöksen, asetus edellyttää myös tietoturvallisuuden korotetun ja korkean tason tietojenkäsittelyn suojaustoimia ja menettelyitä silloin kun käsitellään suojaustasojen I, II tai III tietoja. Tämän VAHTI-ohjeen näkökulmana on eri tietoturvatasojen hallinnan sekä salassa pidettävien tietojen vaatimusten toimeenpanon tukeminen päätelaitekäytössä.

Ohjetta laadittaessa on huomioitu VAHTI:n vuonna 2012 julkaisema Teknisten ICT-ympäristön tietoturvataso-ohje (VAHTI 3/2012), jonka sisältöä tämä ohje täydentää sekä täsmentää vaatimuksia päätelaitteiden vaatimusten osalta. Tämä ohje korvaa Älypuhelimien tietoturvallisuus - hyvät käytännöt -ohjeen (VAHTI 2/2007) sekä täsmentää Sisäverkko-ohjeen luvun 13 (VAHTI 3/2010), sen vaatimukset 13.1-13.12 ja Teknisen ICT-ympäristöjen tietoturvataso-ohjeen (VAHTI 3/2012) vaatimuksia päätelaitteiden osalta.

Osa valtionhallinnon organisaatioista on ottanut käyttöön uusia työskentelytapoja, päätelaitteita sekä niihin liittyviä palveluita. Tämän ohjeen avulla valtionhallinnon organisaatiot voivat niitä käyttäessään ja käyttöä suunnitellessaan arvioida ja ottaa huomioon salassa pidettävien tietojen käsittelyn turvallisuuden erilaisissa käyttötapauksissa. Salassa pidettävän tiedon siirtyessä valtionhallinnon organisaatiolta toiselle, yhteisillä turvallisuusvaatimuksilla varmistetaan tiedon turvallisuuden pysyminen sillä tasolla, minkä tiedon omistaja on sille asettanut. Valtionhallinnon organisaation tulee huomioida näiden turvallisuusvaatimusten varmistaminen myös yhteistyökumppaneidensa ja asiakkaidensa kanssa tapahtuvassa salassa pidettävien tietojen käsittelyssä ja vaihdossa. On suositeltavaa, että tämän ohjeen sisältämät linjaukset otetaan käyttöön hallinnonaloja ja virastoja koskevissa soveltamisohjeissa sekä organisaatioidensuunnitellessa uusien päätelaitteiden ja niihin liittyvien palveluiden käyttöönottoja. Eri suojaustason tietojen käsittely edellyttää kyseiselle suojaustasolle asetettujen vaatimusten varmistamista myös päätelaitteilla ja niihin liittyvissä palveluissa tapahtuvassa tietojen käsittelyssä. Joissain tapauksissa tietojärjestelmän tai palvelun teknisillä ratkaisuilla voidaan kompensoida tiettyjen päätelaitteiden tietojen suojauksen tai hallinnan puutteita, tai rajata salassa pidettävien tietojen käsittelyä päätelaitteilla. Näin pienentyneiden riskien ansiosta voidaan tarvittaessa mahdollistaa tiettyjen käyttötapausten salliminen valituille päätelaitteille. Tämä tehdään aina riskien arvioinnin kautta, jossa on huomioitava muun muassa kohderyhmän (loppukäyttäjien, pääkäyttäjien, yhteistyökumppaneiden ja asiakkaiden) kannalta tarpeelliset käyttötapaukset sekä näissä muodostuva rajattu tietojenkäsittely-ympäristö, joka sisältää päätelaitteiden ja palveluiden lisäksi tarvittavat tietojärjestelmät, verkot sekä tilat.

Ohje on laadittu VAHTI:n alaisessa hankeryhmässä, jonka jäseninä ovat toimineet:

•       Kimmo Janhunen, valtiovarainministeriö (Oikeusrekisterikeskus 31.10.2013 saakka), ryhmän puheenjohtaja

•       Aku Hilve, valtiovarainministeriö, ryhmän varapuheenjohtaja

•       Tuomo Pigg, valtiovarainministeriö

•       Tommi Simula, Valtiokonttori

•       Teemu Kuparinen, Valtiokonttori

•       Tommi Welling, Valtiokonttori

•       Sauli Pahlman, Viestintävirasto

•       Jyrki Kokkinen, Aalto yliopisto

•       Aarne Koutaniemi, tasavallan presidentin kanslia

•       Pekka Vähämäki, Maanmittauslaitos

•       Jussi Salminen, Tullihallitus.

Ohjeen laadintaan osallistuivat konsultteina KPMG:n asiantuntijat Matti Järvinen ja Antti Alestalo.

Ohjeen luonnos oli laajalla lausuntokierroksella 16.9.2013 – 2.10.2013. Saadut lausunnot käsiteltiin työryhmän kokouksessa 9.10.2013 ja huomioitiin ohjeen lopullisessa versiossa.

VAHTI päätti ohjeen julkistamisesta lokakuussa 2013 pidetyssä kokouksessaan.