Lausunto valtiovarainministeriölle 19.4.2022 (188/03.01.00/2022) Jari Ylikoski

Tiedonhallintalautakunnan suositus julkisen hallinnon tietoturvallisuuden arviointikriteeristöstä (Julkri), kommentointipyyntö

Kommentointipyynnön diaarinumero: VN/10182/2022

Julkri-suositus

Voit kommentoida tähän Julkri-suositus dokumenttia. Yksilöi vastauksessasi mahdollisuuksien mukaan esimerkiksi suosituksen sivunumerolla.

Suomen Kuntaliitto ry, jäljempänä Kuntaliitto, kiittää mahdollisuudesta kommentoida arviointikriteeristö esitystä. Täydentyvän julkisen hallinnon lainsäädännön tuomien velvoitteiden hallinta ja toimeenpano edellyttävät kokonaiskuvan ymmärtämistä käyttäjäorganisaatioitten toiminnan tasolla. Kuntaliitto pitää hyvänä TiHL:ssa määriteltyjen tietoturvallisuusvaatimusten toteuttamisen tukemiseksi Julkri arviointikritee-ristön julkaisemista. Julkri arviointikriteeristöä käytettäessä itsearviointimenetelmänä yhteistyössä eri asianosaisten kanssa mahdollistetaan tasapainoinen lähestymi-nen organisaation tietoturvallisuuteen. 

Julkri kriteeristön käyttö ja käyttökokemukset tulevat kertomaan menetelmän soveltuvuuden ja hyödynnettävyyden organisaation sisäisen kommunikoinnin sekä tarvittavan vuoropuhelun mahdollistamiseksi palveluntarjoajien/-toteuttajien kanssa. Mahdollistaen toteutusten priorisointien tekemisen ja kohdennetut/tarkoituksenmukaiset investoinnit toiminnan tasolle vietynä. Julkri kriteeristön toimiessa yhteisenä "sateenvarjo" menetelmänä. 

Suositus on selkeä, ymmärrettävä ja nostaa esille riskien tunnistamisen ja käsittelyn tarpeellisuuden organisaation toiminnan ja toimintaympäristön kautta. Tarjoten tukea johtamiselle, päätöksenteolle ja toiminnanohjaukselle. Toimenpiteitten ja tavoitteitten toteuttaminen oikeassa tasapainossa tietoturvallisuusvaatimukset huomioiden edellyttää suojattavan tiedon merkityksen ja organisaation toiminnan ymmärtämistä (muutostenhallinta mukaan lukien). Tämä edellyttää arviointien ja menettelytapojen osalta systemaattista sekä suunnitelmallista lähestymistä.  

Kriteeristö (Liite 1A ja 1B)

Yleiset kommentit kriteereistä Seuraavassa voit antaa yleisiä kommentteja kriteeristöön. Tulevissa kohdissa pyydämme kommentteja osa-alueisiin erikseen

Tiedonhallintalain (TiHL) kautta tarkasteluna julkisen hallinnon tietoturva-arviointikriteeristö (Julkri) koostuu 33:sta hallinnollista turvallisuutta, 14:sta fyysistä turvallisuutta, 68:sta teknistä turvallisuutta sekä 12:sta varautumista ja jatkuvuudenhallintaa koskevasta kriteeristä. Digitaalisen turvallisuuden kehittämisen edistämiseksi tarvitaan menetelmä organisaatioiden arvioidessa omaa toimintaansa ja toimintaympäristöään vasten TiHL:n asettamiin tietoturvavaatimuksiin (menetelmän ollessa tasapainossa GDPR:n ja kansallisen tietosuoja-asetuksen vaatimusten kanssa). Kuntaliitto pitää hyvänä havaintoa siitä ettei yhden osa-alueen kriteerien toteuttaminen yksinään takaa tietojärjestelmien eikä tietoaineistojen turvallisuutta, vaan myös muiden osa-alueiden kriteerit tulee huomioida. Ja eri osa-alueihin tulee kiinnittää huomiota organisaation toiminnan tasolla. Julkri-kriteeristö tunnistaa riskipohjaisen päätöksenteon "hengen" TiHL:n mukaisesti. Vaikka arviointikriteeristön lähtökohtana on täytettävä arviointiin sisältyvien kriteerien vaatimusten täyttäminen, voi organisaatio kuitenkin tunnistetun kriteerin vaatimuksen täyttämättä todentaessaan ettei riskiä ole tai riski on hyväksyttävällä tasolla organisaation toiminnan tasolla (mahdollisesti muiden kompensatiivisten toimenpiteitten kautta).

Kommentit hallinnollisen turvallisuuden osa-alueeseen - Yksilöi vastauksessasi mahdollisuuksien mukaan esimerkiksi kriteerin tunnisteella. Voit arvioida kriteerien ymmärrettävyyttä, kriteerien luokittelun tasojen sopivuutta sekä mahdollisia puutteita kriteeristössä tai voiko jonkun kriteerin jättää tarpeettomana pois? 

"Tietoturvallisuusriskien hallintaprosessi koostuu toimintaympäristön määrittämisestä, riskien arvioinnista (tunnistaminen, analysointi, merkityksen arviointi), riskien käsit-telystä, riskien hyväksynnästä, riskejä koskevasta viestinnästä ja tiedonvaihdosta sekä riskien seurannasta ja katselmoinnista." 

Tietoriskien hallinta on osa organisaation toimintaa ja olemassa olevaa riskienhallintaa, siten vaikuttaen sekä samalla ohjaten muita tietoturvallisuuden hallinnan osa-alueita. Kunnat toimivat monitoimittajaympäristössä ollen toteutukseltaan moniosaajia. Kuntatoimijoiden laajentuvat toimintaympäristöt koostuvat merkittävältä osalta ei välittömästi oman organisaation hallinnan piirissä ja valvonnassa olevista rakenteista. Hallinnollisen tietoturvallisuuden velvoitteitten ja käytänteitten osuudet ovat painottuneet uusien teknologioitten käyttöönottojen sekä hankintamenettelyjen yhteyksissä (mukaan lukien yksittäisten, erillisten tietoturvallisuuspalvelujen hankinta dynaamisen käyttöönotto menettelyn kautta).

Kommentit varautumisen ja jatkuvuudenhallinnan osa-alueeseen - Yksilöi vastauksessasi mahdollisuuksien mukaan esimerkiksi kriteerin tunnisteella. Voit arvioida kriteerien ymmärrettävyyttä, kriteerien luokittelun tasojen sopivuutta sekä mahdollisia puutteita kriteeristössä tai voiko jonkun kriteerin jättää tarpeettomana pois?

TiHL:n mukaisesti tiedonhallintamalli kuvaa organisaation toimintaa ja laajennettua toimintaympäristöä tiedon käsittelyn ja hallinnan tasoilla (viranomais-viranomais välillä). Kuntatoimijoiden toteuttaessa niille asetettuja tehtäviä sekä itselleen määrittelemiä/ottamia täydentäviä tehtäviä palveluina rakentuu tarvittava toimintaympäristö enenemässä määrin ei suoraan oman organisaation hallinnassa olevista osioista (esim. pilvipalvelupohjaiset toteutusmallit). Häiriö- ja poikkeustilanteitten hallinta edellyttää organisaatioilta suunnitelmallista ja systemaattista lähestymistä - varautumista toiminnan tasolla. Edellyttäen organisaation toiminnan tarkoituksenmukaista tuntemusta poikkeustilanteesta toipumiseksi ja toiminnan normalisoimiseksi. Niin palveluiden jatkuvuuden kuin organisaation kyvykkyyksien kannalta tarkasteltuna. Organisaatio tuntee oman toimintansa ja toimintaympäristönsä merkityksen parhaiten, ja tätä päivittyvää nykytilaa kuvataan tiedonhallintamallissa mahdollisimman tarkoituksenmukaisesti. Miten toiminta ja palvelut riippuvat toimintaprosesseista, tietovarannoista, tietoaineistoista, tietojärjestelmistä ja organisaatio tasoisista tietoturvallisuuskäytännöistä. Tämä edellyttää organisaatiotasoista määrittelyä jatkuvuushallinta vaatimuksista yhteistyössä riskien hallinnan, tietoturvan ja toimintalähtöisen kehittämisen kanssa. Kyse ei ole erillisestä toiminnasta.

Muita kommentteja ja kehitysideoita kriteeristön kehittämiseksi

Voit kirjoittaa kommentit alla olevaan tekstikenttään.

Arviointikriteeristön kehittäminen tulisi harmonisoida julkisen hallinnon turvallisuusarkkitehtuuri viitekehyksen kanssa. Näin mahdollistaen johdonmukaisen yhteistyön riskien hallinnan, tietoturvallisuuden, jatkuvuuden ja varautumisen hallinnan osa-alueilla. Samalla arviointikriteeristö lähentyisi muotokieleltään TiHL:n asettamia tavoitteita - "sateenvarjo" menetelmänä - sekä olisi edesauttamassa julkisen hallinnon eri toimintaympäristöjen yhteentoimivuutta. 

Julkisen hallinnon tiedonhallintakartan kuvaessa keskeisiä, kriittisiä tietolähteitä, elementtejä (tietovarantoja, tietoaineistoja ja niitä mahdollistamia tietojärjestelmiä) sekä niiden keskinäisiä yhteyksiä (integraatioita) tukisi Julkri arviointikriteeristö tarvittavien tietoturvallisuusjärjestelyjen tasolla organisaation tiedon käsittelyn ja hallinnan mallentamista - kokonaisuuden hallintaa. Kuntakentän osalta tiedonhallintakartan (jatkossa) kuvatessa kuntien lakisääteisten tehtävien kannalta oleelliset tietolähteet, elementit tiedonantovelvoitteitten ja tiedonsaantioikeuksien tasoilla tukisivat tiedonhallintakartta ja Julkri-arviointikriteeristö eri tiedonhallintayksiköitten laa-timien tiedonhallintamallien laadullisuutta. Näin edesauttaen TiHL:n jalkautumista.
 

SUOMEN KUNTALIITTO

Markus Pauni                               Jari Ylikoski
stragegia- ja kehitysjohtaja            erityisasiantuntija   
 

tags