Lausuntopalvelu.fi

Lausuntopalvelu - Katakri 2020 - Tietoturvallisuuden auditointityökalu viranomaisille

Katakri 2020 - Tietoturvallisuuden auditointityökalu viranomaisille

Lausuntopyynnön diaarinumero: 04.40/UM/7798

Vastausaika päättyy: 15.11.2020

Lausuntopyynnön taustatiedot
Johdanto
Katakri on viranomaisten tietoturvallisuuden auditointityökalu, jota voidaan käyttää arvioitaessa kohdeorganisaation kykyä suojata kansallista tai kansainvälistä turvallisuusluokiteltua tietoa. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset, mutta työkalun nykyinen versio on vuodelta 2015 ja sisältää siksi osin vanhentunutta tietoa. Katakri on nyt päivitetty lainsäädäntöuudistuksia sekä käytännön tarpeita vastaavaksi.  

Keskeisimmät kansalliseen lainsäädäntöön perustuvat vaatimuslähteet ovat laki julkisen hallinnon tiedonhallinnasta (906/2019) sekä valtioneuvoston asetus asiakirjojen turvallisuusluokittelusta valtionhallinnossa (1101/2019), joita noudatetaan Suomessa niin kansallisen kuin kansainvälisenkin turvallisuusluokitellun tiedon suojaamisessa. Kansainvälisenä lähteenä on käytetty EU:n turvallisuussääntöjä (2013/488/EU), jotka sisältävät EU:n turvallisuusluokitellun tiedon suojaamista koskevat vähimmäisvaatimukset ja perusperiaatteet.
Tausta
Ensimmäinen Katakri eli kansallinen turvallisuusauditointikriteeristö valmistui vuonna 2009 osana hallituksen sisäisen turvallisuuden ohjelmaa. Katakri valmisteltiin puolustusministeriön johdolla viranomaisten ja elinkeinoelämän yhteistyössä. Tämän jälkeen vastuu Katakrin jatkohallinnoinnista ja päivityksestä siirrettiin sisäministeriölle, jonka koordinoimana Katakrin ensimmäinen päivitysversio valmistui vuonna 2011.

Elokuussa 2012 sisäministeriö asetti neuvoa antavan työryhmän, jonka esityksestä keskeiset ministeriöt (VM, UM, LVM, SM, PLM, VNK) päättivät tammikuussa 2014, että päävastuu Katakrin ylläpidosta ja hallinnoinnista siirtyy ulkoministeriössä toimivalle Kansalliselle turvallisuusviranomaiselle (NSA). Katakrin kolmas, vuonna 2015 julkaistu versio uudisti Katakrin rakenteen ja keskittyi turvallisuusluokitellun tiedon tietoturvallisuuteen. Katakri-nimi oli käytössä jo niin vakiintunut, että se päätettiin säilyttää jatkossakin tämän viranomaisten auditointityökalun nimessä.

Katakrin neljännen version päivitystyö ja hallinnointi on ollut NSA:n yhteistyöryhmän alatyöryhmäksi perustetun ohjausryhmän vastuulla. Ohjausryhmässä ovat olleet edustettuina toimivaltaisten viranomaistahojen lisäksi elinkeinoelämän edustajat. Katakri on osoittautunut toimivaksi työkaluksi, jolla on merkittävää arvoa myös Suomen maineelle tietoturvallisuuteen liittyvissä kysymyksissä sekä suomalaiselle yritysmaailmalle laajemminkin. Katakrin neljännen version päivitystyön taustalla keskeisimpänä tekijänä on ollut vastaaminen 2020 alusta uusiutuneen kansallisen lainsäädännön muutoksiin. Neljännessä versiossa on huomioitu myös digitaalisen tietojenkäsittelyn kehitysaskeleita sekä täydennetty työkalun tarkoituksenmukaiseen käyttöön liittyviä ohjeistuksia.
Tavoitteet
Päivitetyn auditointityökalun tavoitteena on varmistaa, että auditoitava organisaatio on toteuttanut riittävät turvallisuusjärjestelyt turvallisuusluokiteltujen tietojen oikeudettoman paljastumisen tai oikeudettoman käytön ehkäisemiseksi. Turvallisuusriskien hallinnalla pyritään toteuttamaan turvatoimien yhdistelmä, jolla saadaan aikaan tyydyttävä tasapaino käyttäjien vaatimusten, kustannusten ja turvallisuuteen kohdistuvan jäännösriskin välillä.

Tavoitteena on samalla turvata ja edistää suomalaisyritysten kilpailukykyä sekä tukea viranomaisten ja elinkeinoelämän turvallisuustyötä. Yhteinen auditointikriteeristö varmistaa yhdenmukaiset auditointitulokset sekä soveltamiskäytännöt.
Liitteet:
Aikataulu
Lausunnot pyydetään toimittamaan 15.11.2020 mennessä vastaamalla tähän lausuntopyyntöön.
Vastausohjeet vastaanottajille
Lausunto pyydetään antamaan vastaamalla lausuntopalvelu.fi:ssä julkaistuun lausuntopyyntöön.

Lausunnon antaakseen vastaajan tulee rekisteröityä ja kirjautua lausuntopalvelu.fi:hin. Lausuntoa ei tarvitse lähettää erikseen sähköpostitse tai postitse. Tarkemmat ohjeet palvelun käyttämiseksi löytyvät lausuntopalvelu.fi:n sivuilta Ohjeet > Käyttöohjeet. Palvelun käyttöönoton tukea voi pyytää osoitteesta lausunto.om@om.fi. 

Tämä lausuntopyyntö on lähetetty vain sähköisenä. Lausuntoja voivat lähettää myös muut kuin jakelussa mainitut tahot.
Valmistelijat
Lisätietoja antavat lakimies Ville Salmi (ville.salmi@formin.fi) sekä lakimies Mikael Raivio (mikael.raivio@formin.fi).
Jakelu:
Elinkeinoelämän keskusliitto EK    
Finnish Information Security Cluster FISC    
Insta Group Oy    
Keskuskauppakamari    
Liikenne- ja viestintäministeriö    
Oikeusministeriö    
Puolustusministeriö    
Pääesikunta    
Sisäministeriö    
Suojelupoliisi    
Suomen Yrittäjät    
Traficom    
Työ- ja elinkeinoministeriö    
Valtioneuvoston kanslia    
Valtiovarainministeriö    
Asiasanat

tietoturvallisuus

yritysturvallisuus