Luonnos

Tietoturva- ja tietosuojatason määrittäminen

Jotta voit arvioida millaista tietoturvallisuuden ja tietosuojan tasoa hankkeesi tarvitsee, sinulla on oltava käsitys seuraavista asioista:

  • Liittyykö hankkeeseen erityislainsäädäntöä? Asettaako se joitakin vaatimuksia esimerkiksi tiedon salassa pitämiselle tai salassa pidon poikkeuksille (esimerkiksi Perusopetuslaki 40§)?
  • Kun kehityshanke on viety loppuun, millaisia erilaisia aineistoja toiminnossa käsitellään? Ovatko kaikki tiedot julkisia ja onko tietoja ajateltu tarjottavaksi ulospäin avoimena datana? Vai onko joukossa salassapitoa tai anonymisointia vaativaa aineistoa, esimerkiksi henkilötietoja? 
  • Millaisia tietosuojatoimenpiteitä tai periaatteita henkilötietoihin tulee liittyä, esimerkiksi onko henkilöllä oikeus pyytää tietojensa poistamista vai ei.
  • Kuinka suuri on mahdollinen salassa pidettävä tietoaineisto (kaikkien kaupunkilaisten henkilötiedot vai vain muutaman palvelua käyttävän)?
  • Kun kehityshanke on viety loppuun, kulkeeko toiminnon kautta merkittävästi omaisuutta tai rahaa?
  • Jos kehitetään tietojärjestelmää, minkälaisessa ympäristössä sitä tullaan käyttämään? Ovatko sen käyttäjinä kaikki kaupunkilaiset (ja mahdolliset ulkopuoliset) vai asennetaanko se käytettäväksi vain kaupungin sisäisesti? Tullaanko sitä käyttämään ympäristössä, jossa siihen voivat päästä käsiksi vieraat tahot (esim. työmailla, autoissa)?
  • Mikä on järjestelmän haluttu palveluaika (esim. 24/7, joka päivä klo 8-18 tai vain virka-aikaan).
  • Mikä on pisin katko, joka järjestelmässä sallitaan (ei katkoja palveluaikaan, minuutteja, tunteja, päiviä).
  • Tarvitseeko järjestelmän olla käytössä erilaisissa yhteiskunnan poikkeusoloissa?

Tietoturvan ja tietosuojan tasot

Hankkeissa kehitettävät tai käyttöön otettavat tietojärjestelmät voidaan karkeasti jaotella kolmeen luokkaan, joilla jokaisella on erilaiset tietoturvallisuuteen ja tietosuojaan liittyvät vaatimukset.

  1. Lähtötaso: Vain julkista tietoa sisältävät rajatulle joukolle suunnatut järjestelmät (esimerkiksi oppilaitoksen inforuudut).
  2. Perustaso: Jonkin verran salassa pidettävää aineistoa (esim. henkilötietoja) sisältävät järjestelmät.
  3. Korotettu taso: Erityisjärjestelmät (esim. terveystietoja tai paljon henkilötietoja sisältävät, tai rahaliikennettä hoitavat järjestelmät).

Huomaa myös, että vain julkisia tietoja tai avointa dataa sisältävät järjestelmät vaativat tietoturvallisuuden huomioimisen hankkeen aikana. Esimerkiksi siitä voi olla merkittävää haittaa jos tiedotusjärjestelmään päästään syöttämään virheellistä tietoa tai jos avoimen datan kautta pystytään yksilöimään henkilöitä.

Tämän vuoksi tavoitteena on tilanne, jossa kaikki järjestelmät on suojattu vähintään perustasolla.

Tietosuojan osalta tason määritys mahdollistaa uuden EU-tasoisen tietosuojalainsäädännön huomioon ottamisen, säädöksissä vaaditaan tietosuojan huomioon ottamista jo kehityksen alkuvaiheessa. Tehtävien pois jättäminen voi altistaa organisaation tietosuojaviranomaisen hallinnollisille sanktioille.

Vastaavaa jaottelua käytetään myös varautumisen osalta.

Tason määritys

Oletusarvoisesti järjestelmän tietoturvallisuuden ja tietosuojan taso on perustaso. Seuraavilla kysymyksillä voidaan selvittää, onko tästä oletuksesta syytä poiketa. 

  1. Voiko järjestelmä vaikuttaa suoraan ja välittömästi ihmisten terveyteen tai käsitelläänkö järjestelmässä ihmisten terveyteen liittyviä tietoja? Jos voi, järjestelmä kuuluu korotetulle tasolle.
  2. Käsitteleekö järjestelmä merkittävää osaa kaupungin omaisuudesta tai varallisuudesta, tai onko se osa rahaliikennettä? Jos käsittelee, järjestelmä kuuluu korotetulle tasolle.
  3. Käsitelläänkö järjestelmässä suuria määriä henkilötietoja (esim. kaikkien kuntalaisten henkilötiedot). Vaikka yksittäinen henkilötieto voidaankin käsitellä perustason järjestelmässä, kasautumisvaikutuksen vuoksi tällainen suurta tietomassaa käsittelevä järjestelmä kuuluu korotetulle tasolle.
  4. Kuuluuko järjestelmän toimia myös yhteiskunnan poikkeusoloissa (esim. yhdyskuntatekniikka). Jos kuuluu, järjestelmä kuuluu korotetulle tasolle.
  5. Onko järjestelmä jonkun idean kokeilu, jota ei ole koskaan tarkoitus ottaa sellaisenaan käyttöön, ja kokeilussa käytetään vain julkista aineistoa tai tekaistua testisisältöä, se kuuluu lähtötasolle. Joissakin tilanteissa voidaan tehdä myös kokeiluja, joissa ei ole tietoturvapiirteitä ollenkaan.
  6. Käsitelläänkö järjestelmässä vain julkisia tietoja, jotka ovat saatavissa vain suljetun verkon sisällä? Tällöin järjestelmä voi olla lähtötasolla.

Jos mikään kysymyksistä ei koske kehitettävää järjestelmää, se on perustasolla.

Varautumisen vaatimusten osalta katso tarkemmat ohjeet VAHTI-ryhmän ICT-varautumisen oppaan luvusta 2.2.2.

Tason määrityksen vaikutukset

Järjestelmän taso vaikuttaa tietoturvaan ja -suojaan monella eri tavalla: 

  1. Kuinka paljon ja millaisia tietoturvaan liittyviä toimia kehitysprosessin aikana tulee tehdä. Näitä tehtäviä on kuvattu tällä sivustolla kunkin kehitysmenetelmän kuvauksen sisällä.
  2. Millaisia tietoturvan hallintatoimia kehitettävään toimintoon tai järjestelmään luodaan. 
  3. Millaisia vaatimuksia järjestelmän tuotantoinfrastruktuurille asetetaan (vasteajat, palvelutaso).
  4. Kuinka paljon tietoturva-asiantuntemusta hankkeessa tarvitaan.

IT-järjestelmien kohdalla konkreettisia vaatimuksia järjestelmäkehitykselle löytyy Valtionhallinnon VAHTI-ohjeesta 1/2013: Sovelluskehityksen tietoturvaohje. Sen liitteessä 1 on vaatimustaulukko. Tämä sisältää kumpaankin edellä mainittuun kategoriaan kuuluvia toimia ja siksi tätä ohjeistusta voidaan käyttää tarkistuslistana.

 

Esimerkkejä

  1. Ollaan hankkimassa kotisairaanhoitoon tietojärjestelmää, jossa on asiakkaiden henkilö- ja terveystietoja. Koska siinä käsitellään ihmisten terveystietoja, se kuuluu korotetulle tasolle.
  2. Kaupungin verkkosivut. Sivuilla on lähtökohtaisesti vain julkista tietoa, mutta koska se on saavutettavissa julkisesta avoimesta verkosta, se kuuluu perustasolle.
  3. Oppilaitoksen oma intranet. Jos se sisältää lähtökohtaisesti vain ei-salaisia tietoja ja on käytettävissä vain oppilaitoksen omasta sisäisestä verkosta, voidaan käyttää lähtötason vaatimuksia. Tällainen järjestelmä voi sisältää myös jonkin verran henkilötietoja (esim. opettajien nimet ja puhelinnumerot).
Luonnos