VAHTI 7/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa

ESIPUHE

Riippuvuus tietojärjestelmistä on tehnyt hallinnosta erittäin haavoittuvan turvallisuutta uhkaaville tekijöille. Lisäksi hallinnon ja yksityisten verkkojen yhdistäminen sekä palveluiden ulkoistaminen ovat heikentäneet virastojen mahdollisuuksia tehokkaaseen tietoturvallisuuden valvontaan.

Tietoturvallisuus ja siihen kohdistuvien riskien merkitys vaihtelee toimialoittain eri hallinnon sektoreilla. Tavallisesti ajatellaan, että tietoriskit ovat tietoihin ja niiden käyttöön kohdistuvia tapahtumien todennäköisyyksiä. Tietoriski on tilanne, jolloin tieto tai tietojärjestelmä ei ole käytettävissä, tieto on muuttunut jonkin tapahtuman kautta tai päätynyt ulkopuolisten haltuun. Tietoriskit ovat vahinkoriskejä, joiden toteutumiseen liittyy aina menetyksiä, niin taloudellisia kuin imagoon liittyviä.

Riskejä voivat aiheuttaa ihmiset, tekniset viat tai sääilmiöt, ja näihin liittyvä teko voi olla tahallinen tai tahaton. Ammattimainen hyökkäys on yhtä todennäköinen kuin tahaton virhe ja tästä syystä molempiin on varauduttava. Tietoriskiin on varauduttava tiedon luottamuksellisuuden, käytettävyyden ja eheyden turvaamiseksi.

Tietoriskien hallinta on normaalia päätöksentekotoimintaa josta organisaation johto vastaa. Tavoitteena on taata toiminnan jatkuvuus.

Oikean tason löytäminen on tärkeää, koska tieto on yksi suojattavista kohteista ja sillä voi olla merkitystä myös muiden organisaatioiden toiminnalle verkottuvassa hallinnossa. Huolellinen tai huolimaton tapa käsitellä tietoa kuvaa organisaation kulttuuria ja tapaa toimia.

Riskikartoituksen tavoitteena on löytää uhkatekijät sekä arvioida uhkien todennäköisyys ja niiden seurausten vakavuus. Tietoriskien arvioinnissa voidaan käyttää samoja menetelmiä kuin muidenkin riskien arvioinnissa unohtamatta kuitenkaan tietoriskien erityisominaisuuksia. Tiedon käsitteellisen luonteen vuoksi riskien arvioinnille asettavat haasteita tietoverkot, tiedon säilytysmuodot ja laaja-alaisuus joka liittyy tietoturvallisuuteen. Kun riskit on arvioitu, organisaatiolla on tiedossaan tunnistetut riskit. Riskien hallintasuunnitelmalla päätetään kuinka riskeihin suhtaudutaan.

Valtionhallinnon tietoturvallisuuden johtoryhmän näkemyksen mukaan valtionhallinnon tietoriskien arviointiin voidaan käyttää esimerkiksi tämän suosituksen luvussa 3.2 mainittuja menetelmiä. Lisäksi useissa VAHTI-ohjeissa on tarkistuslistoja joita voidaan hyödyntää riskien arvioinnissa.

7/2003 Ohje riskien arvioinnista tietoturvallisuuden edistämiseksi valtionhallinnossa
Päivitetty: 9.6.2020