Tiedonhallintalautakunnan suositus tietoturvallisuudesta hankinnoissa, kommentointipyyntö

Kommentointipyynnön diaarinumero: VN/5408/2023

Yleisesti

Kuntaliitto pitää hyvänä suosituksen toteuttamista (myös välillisistä näkökulmista)  

• TiHL:ssa (Julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019)) määriteltyjen tietoturvallisuusvaatimusten toteuttamisen tukemiseksi

sekä

• Julkri (julkisen hallinnon tietoturvallisuuden arviointikriteeristö) suosituksen laajemman tunnettavuuden ja hyödynnettävyyden mahdollistamiseksi.

Hankintojen valmisteluvaiheessa yhteistyössä määriteltävät tietoturvallisuustoimenpiteet eri asianosaisten kanssa mahdollistavat tasapainoisen lähestyminen organisaation tietoturvallisuuteen. Lausunnon alainen suositus on rajattu tarkastelemaan (vain) tiedonhallintalain tietoturvallisuusvaatimusten soveltamista hankinnoissa.

• Julkri:n hyödyntäminen osana hankintamenettelyjä edesauttaa organisaation sisäisen kommunikoinnin sekä tarvittavan vuoropuhelun käynnistämisessä palveluntarjoajien/-toteuttajien kanssa. Mahdollistaen toteutusten priorisoinnit ja kohdennetut investoinnit toiminnan tasolle vietynä.

Suositus on muodoltaan selkeä, ymmärrettävä ja nostaa esille digitaalisen turvallisuuden eri osa-alueet. Tietoturvallisuustoimenpiteiden vähimmäistason määrittely edellyttää tiedonhallintayksiköltä/organisaatiolta oman toiminnan ja toimintaympäristön tuntemista tietojenkäsittelyyn kohdistuvien riskien hallitsemiseksi. Vähimmäistasoa määriteltäessä tulee huomioida organisaation muuttuminen ja kehittyminen mm.

• tarvittava tuki johtamiselle, päätöksenteolle ja toiminnanohjaukselle (tiedonhallintayksikön vastuut)
• arviointien ja menettelytapojen systemaattinen sekä suunnitelmallinen luonne (organisaation käytännöt ja vastuut)

TiHL:ssa määritellyt (tieto)järjestelmä tietoturvallisuusvaatimukset on kohdistettu viranomaisille, tiedonhallintayksiköille (LIABILITY). Yhteishankintojen ollessa kyseessä (kuntakenttä) hankintamenettely toteutuu palveluna kuntapohjaisten yhtiöitten (INHOUSE-yhtiöt) kautta. Vaatimusmäärittelyn sisällöllisesti toteutuessa pelkistyneenä toteumana esim. Kunta-A:n noudattamista tietosuoja vaikutustenarviointi käytännöistä. Kuntaliitto esittää, että lausuntopyynnön alla oleva suositus tehdään ko. tahoille tiedoksi ja heille annetaan mahdollisuus lausua asiakokonaisuudesta.  

Suosituksesta

Tietoturvallisuuden painopisteenä hankintojen osalta on käsiteltävät tiedot ja niiden merkitys viranomaisen tehtävien hoidolle, lakisääteisten velvollisuuksien toteuttamiselle ja yhteiskunnan toiminnalle. Tämä edellyttää tiedonhallintayksiköltä/kunnalta velvoitetta

• seurata toimintaympäristönsä tietoturvallisuuden tilaa
• varmistaa tietoaineistojen ja tietojärjestelmien tietoturvallisuus niiden elinkaaren ajan
• selvittää olennaiset tietojenkäsittelyyn kohdistuvat riskit
• mitoittaa tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti

Näiden tuloksellinen toteutuminen merkitsee organisaatioissa hankintavastuullisten yhteistyötä eri asianosaisten/vastuullisten kanssa. Erityisesti huomioiden henkilötietojen käsittelyyn liittyvät vaatimukset (tietosuoja-asetus, tietosuojalaki). Tämän mahdollistamiseksi hankintakäytäntöjen tulee tukea yhtenäisiä menettelyjä.

Muista suosituksista ja niiden soveltamisesta

Julkri arviointikriteeristö ja Suosituskokoelma tiettyjen tietoturvallisuussäännösten soveltamisesta suosituksina edesauttavat kuntatoimijoita soveltamaan TiHL:ssa määriteltyjä tietoturvallisuusvaatimuksia omaan toimintaansa ja toimintaympäristöönsä - vähimmäisvaatimusten tunnistamiseksi ja toteuttamiseksi.

• TiHL:ssa määritelty muutosvaikutusten arvioinnin huomioiminen (Suositus tiedonhallinnan muutosvaikutusten arvioinnista) on suositeltavaa hankintavaiheessa tehtävää järjestelmien käyttöönoton arviointia toteutettaessa.  

Hankinnan lähtökohtien tunnistaminen osio

Hankinnan osakokonaisuuksia (eri osiin kohdistuvat erilaiset tietoturvallisuusvaatimukset) tunnistettaessa ja määriteltäessä hyvänä työvälineenä toimii organisaation tiedon hallinnan ja käsittelyn nykytila-kuvaus (olemassa/työn alla/suunnitteilla oleva dokumentaatio).

• tiedonhallintamalli (THM) ja siinä kuvatut riippuvuudet ja laissa tunnistettujen eri elementtien (toimintaprosessit, tietojärjestelmät, tietovarannot, tietoaineistot, tietoturvajärjestelyt) keskinäiset suhteet organisaation toiminnan kannalta.

Suosituksessa viitataan viranomaisen arkkitehtuurilinjaukset suositukseen/ohjeistukseen/käytäntöihin/dokumentaatioon ko. linjauksia tarkemmin määrittelemättä.  

Vaatimusten määrittely

Suositellun periaatteen Yksittäisen hankinnan tietoturvallisuusvaatimusten yhdenmukaisuus tulee varmistaa suhteessa viranomaisen tietoturva-arkkitehtuuriin tarkoitus jää epäselväksi. Viitataanko tässä olemassa olevaan viitekehykseen, konseptiin vai erilliseen periaatteeseen digitaalisen turvallisuuden osa-alueella?

Suurten toimittajien ollessa kyseessä joudutaan lähtökohtaisesti palvelujen tietoturvallisuus perustamaan toimittajalla asiakkailleen yleisesti käytössä oleviin kriteeristöihin ja niitä tukeviin auditointi ja selvitystöihin (palvelutoimittajan kanssa sovittu agenda esim. ISAE-lausunnot).

Kuntaliitto pitää hyvinä käytäntöinä suosituksessa esitettyjä

• hankintojen tietoturvallisuusvaatimusten katselmointia organisaation tietoturvallisuudesta vastaavien henkilöiden toimesta (erityisen huomioitavaa tämä on yhteishankintojen kohdalla)
• johdon (tiedonhallintayksikkö) sitouttamista tarkoituksenmukaisesti hankinnalle asetettavien tietoturvallisuusvaatimusten käyttöönoton osalta.

Suosituksessa esitetään, että viranomainen (tiedonhallintayksikkö) määrittelee ja ohjeistaa yleisen käyttöönottoprosessinsisällyttäen siihen tietoturvallisuuden varmistamiseen liittyvät näkökohdat. Tämän ratkaisemiseksi lähtökohdaksi voisi ottaa tiedonhallintamallin (THM) mikä kuvaa toimintaprosessit ja niihin liittyvät riippuvuudet organisaation toiminnan kannalta menemättä työnkulku tasolle (esim. uimaratakaaviot). On huomioitava, että kunta koostuu useista viranomaisista.

• perinteisesti kunnat on mielletty viranomaisorganisaatioiksi, jotka ovat muodostaneet lakisääteisiä kuntayhtymiä palvelujensa järjestämiseksi
  • (lisäksi) huomioitavaa: ostopalvelut, sopimusmallit, erilaiset rahoitus- ja tukimallit sekä verkostot ja kumppanuudet, joiden avulla kunta toteuttaa yleisiä ja erityisiä tehtäviään
  • kunnan toimintaa on käytännössä kaikki, mikä kuntaan liittyy - niille säädetyt (erityinen toimiala) tai kunnan itselleen ottamat (yleinen toimiala) tehtävät.

Muutostenhallinta ja elinkaari

Muutosten jakaminen toimintaympäristön tietoturvallisuudessa tapahtuviin sekä muihin palvelussa tehtäviin muutoksiin ja päivityksiin ei ole tiedon hallinnan ja käsittelyn maailmassa riittävä. Lausunnon alla oleva suositus on rajattu tarkastelemaan TiHL:n tietoturvallisuusvaatimusten soveltamista hankinnoissa. Organisaation toiminnan (toimintaprosessien) muutokset tulee huomioida - toiminta ohjaa toimintaympäristön muutosta. Eri toimialoilla on erilaiset muutostarpeet.

Sopimuksen tietoturvallisuusliitteet

Kuntaliitto pitää hyvänä valmiiden mallidokumentti-pohjien hyödyntämistä. Tämä edesauttaa asioitten käsittelyä palveluntarjoajien kanssa sekä selkeyttää prosessia (eri tarjousten vertailtavuus). Samoin Julkri arviointikriteeristön hyödynnettävyys paranee. TiHL:n kautta tarkasteluna Julkri koostuu 33:sta hallinnollista turvallisuutta, 14:sta fyysistä turvallisuutta, 68:sta teknistä turvallisuutta sekä 12:sta varautumista ja jatkuvuudenhallintaa koskevista kriteereistä. Suosituksen mukaisesti on hankinta kokonaisuutena aina hankintayksikön/-vastuullisten vastuulla. Yhden osa-alueen kriteerien toteuttaminen yksinään ei takaa tietojärjestelmien eikä tietoaineistojen turvallisuutta. Eri osa-alueihin tulee kiinnittää huomiota organisaation toiminnan tasolla.  

Liite 1A/1B

Alihankkija/Määritelmät Alihankkijoitten tunnistaminen - tarvittava tunniste (todennus, valtuutus). Alihankkijoiden piiri on epäselvä ja tilaajan oikeudet alihankkijoiden suhteen myös haasteelliset. Tavarantoimittajien sisällyttäminen alihankkijoihin?

5.4 Tilaajalla on oikeus kieltää Toimittajan tai alihankkijan osallistuminen Palvelun tuottamiseenTulisiko hyödynnettäviä ”perusteltuja syitä” tilaajan kannalta selventää?

6.1 Tilaajalla on tarkastusoikeus Toimittajan tietoturvallisuusjärjestelyihin.

Kolmannen osapuolen serveritilat yms. Lähtökohtaisesti palveluntarjoajien serveripalvelut eivät myönnä (fyysistä) tarkastusoikeutta - esim. pilvipalvelupohjaiset ratkaisut. Määrittelyssä viitataan lakiin yleisesti sen sijaan että määrittely olisi itse ehdossa.

Liite 2 Hankintaehtotyökalu

Työkaluun on koottu Julkri-arviointikriteeristön pohjalta muodostettuja hankintaehtoja. Liite 2:n muotoa ja selkeyttä voisi tarkentaa sen hyödynnettävyyden vuoksi. Esim. sisällyttää siihen esimerkkimallit eritasoisiin hankintoihin. Nyt Liite 2 on muodoltaan yksi excel (eri turvallisuustasojen määrittelyt).

• Julkri-arviointikriteeristö ”palvelee” tietoturva-ammattilaista
• Liite 2(Hankintaehtotyökalu) tulisi ensisijaisesti ”palvella” hankinta-ammattilaista.

Näkökulmista - työkalun kehittämiselle. Häiriö- ja poikkeustilanteitten hallinta edellyttää organisaatioilta suunnitelmallista/systemaattista lähestymistä - varautumista toiminnan tasolla - palveluiden jatkuvuuden ja organisaation valmiuksien kannalta.

Hankintamenettelyn kannalta olisi tarkoituksenmukaista vahvistaa Liite 2:n lisäarvoa
Julkri-arviointikriteeristön suosituksen rinnalla.

• Hallinnollisen tietoturvallisuuden velvoitteitten ja käytänteitten osuudet ovat painottuneet uusien teknologioitten käyttöönottojen sekä hankintamenettelyjen yhteyksissä (mukaan lukien yksittäisten, erillisten tietoturvallisuuspalvelujen hankinta dynaamisen käyttöönotto menettelyn kautta).
  • kuntatoimijoiden laajentuvat toimintaympäristöt koostuvat merkittävältä osalta ei välittömästi oman organisaation hallinnan piirissä ja valvonnassa olevista rakenteista
• Tietojen sijainnin ja käsittelyn näkökulmasta
  • tarjota esimerkkiluonteisia käyttötapauksia siitä milloin on syytä ja lainsäädännöllisesti mahdollista edellyttää tietojen (fyysistä) sijaintia (a) ETA-alueella, (b) Suomessa.

SUOMEN KUNTALIITTO                                         

Jari Ylikoski            
erityisasiantuntija, strategiayksikkö