VAHTI 3/2017 Sähköisen asioinnin tietoturvallisuus -ohje

VAHTI 3/2017 Sähköisen asioinnin tietoturvallisuus -ohje

VAHTI 3/2017 Sähköisen asioinnin tietoturvallisuus -ohje

Tiivistelmä CSC:n lausunnosta:

Tietoturvallisuus on keskeisimpiä menestystekijöitä sähköisessä asioinnissa.  Turvallisuuteen liittyvät riskit tulee torjua tai lieventää riittävän kattavasti, mutta palvelun tehokkuutta ja käytettävyyttä ei kuitenkaan saa vaarantaa liian jäykillä turvallisuuskontrolleilla.

On positiivista, että hallitusohjelmankin kannalta erittäin keskeisistä toiminnoista julkaistaan ohje, jonka avulla voidaan tukea hyvien turvallisuuskäytäntöjen toteuttamista riskienhallinnan kannalta parhaalla mahdollisella tavalla.

Ohjeluonnoksessa käydään läpi keskeisiä hyviä turvallisuuskäytäntöjä, mutta seuraavat seikat luonnoksessa kaipaavat vielä korjauksia ja selvennyksiä:

  • Mitkä osat ohjeessa ovat opastuksia hyviin käytäntöihin, mitkä osat ovat vaatimuksia?
  • Miten ohje suhtautuu Viestintäviraston arviontivaatimuksiin (Ohje tietoturvallisuuden arviointilaitoksille)? Entä muihin ohjeisiin:
    • KATAKRI
    • Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI 2/2010)
    • Sisäverkko-ohje (VAHTI 3/2010)
    • Teknisen ICT-ympäristön tietoturvataso-ohje (VAHTI 3/2012)
    • Sovelluskehityksen tietoturvaohje (VAHTI 1/2013)
    • Valtionhallinnon toimitilojen tietoturvaohje (VAHTI 2/2013)
    • Päätelaitteiden tietoturvaohje (VAHTI 5/2013)
  • Eri VAHTI-ohjeet voivat olla keskenään päällekkäisiä tai ristiriitaisia, miten tätä pitää tulkita erityisesti vaatimusten osalta?
  • VAHTI 3/2017 -ohje sähköisen asioinnin tietoturvallisuudesta tulisi integroida VAHTI:n "beta-ohjeisiin", ks. https://beta.vahtiohje.fi
  • Tietyillä erityissektoreilla on sektorikohtaisia erityistarpeita sekä -ratkaisuja. Esimerkiksi kaikki suomalaiset korkeakoulut ovat käyttäneet luotettavaa ja laadukasta Haka-luottamusverkostoa jo yli 10 vuoden ajan. Sen piirissä on liki 300 palvelua, joihin kirjaudutaan vuosittain n. 30 miljoonaa kertaa. Haka tulisi mainita lopullisessa ohjeessa suositeltuna valmiina ja tehokkaana ratkaisuna korkeakoulutukseen sekä tutkimukseen liittyvien palveluiden osalta.
  • Ohjeluonnoksen liite 2 "Kaupallisten tukipalveluiden tietoturvallisuuden tarkistuslista" on hyvä lähtökohta vaatimusten konkretisointiin, mutta luonteeltaan vielä varsin yleinen. Tavoitteena tulisi olla selkeä ja konkreettinen vaatimuslista, jonka voisi liittää esim. vaatimusmäärittelyn tai hankintasopimuksen osaksi.
  • Eri toimijoiden välisiä rooleja ja vastuita olisi hyvä tuoda ohjeissa selkeästi esille laatimalla esimerkiksi vastuutaulukko palvelun tilaajan, kehittäjän sekä tuottajan kesken.

Valtiovarainministeriön hankesivu

Lue CSC:n lausunto kokonaisuudessaan täältä

kertaa luettu »