Etusivu > Lausuntopyynnöt > Katakri 2020 - Tietoturvallisuuden auditointityökalu viranomaisille

Katakri 2020 - Tietoturvallisuuden auditointityökalu viranomaisille

Vastausaika päättyy: 15.11.2020

Lausuntopyynnön taustatiedot

Johdanto

Katakri on viranomaisten tietoturvallisuuden auditointityökalu, jota voidaan käyttää arvioitaessa kohdeorganisaation kykyä suojata kansallista tai kansainvälistä turvallisuusluokiteltua tietoa. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset, mutta työkalun nykyinen versio on vuodelta 2015 ja sisältää siksi osin vanhentunutta tietoa. Katakri on nyt päivitetty lainsäädäntöuudistuksia sekä käytännön tarpeita vastaavaksi.

Keskeisimmät kansalliseen lainsäädäntöön perustuvat vaatimuslähteet ovat laki julkisen hallinnon tiedonhallinnasta (906/2019) sekä valtioneuvoston asetus asiakirjojen turvallisuusluokittelusta valtionhallinnossa (1101/2019), joita noudatetaan Suomessa niin kansallisen kuin kansainvälisenkin turvallisuusluokitellun tiedon suojaamisessa. Kansainvälisenä lähteenä on käytetty EU:n turvallisuussääntöjä (2013/488/EU), jotka sisältävät EU:n turvallisuusluokitellun tiedon suojaamista koskevat vähimmäisvaatimukset ja perusperiaatteet.

Tausta

Ensimmäinen Katakri eli kansallinen turvallisuusauditointikriteeristö valmistui vuonna 2009 osana hallituksen sisäisen turvallisuuden ohjelmaa. Katakri valmisteltiin puolustusministeriön johdolla viranomaisten ja elinkeinoelämän yhteistyössä. Tämän jälkeen vastuu Katakrin jatkohallinnoinnista ja päivityksestä siirrettiin sisäministeriölle, jonka koordinoimana Katakrin ensimmäinen päivitysversio valmistui vuonna 2011.

Elokuussa 2012 sisäministeriö asetti neuvoa antavan työryhmän, jonka esityksestä keskeiset ministeriöt (VM, UM, LVM, SM, PLM, VNK) päättivät tammikuussa 2014, että päävastuu Katakrin ylläpidosta ja hallinnoinnista siirtyy ulkoministeriössä toimivalle Kansalliselle turvallisuusviranomaiselle (NSA). Katakrin kolmas, vuonna 2015 julkaistu versio uudisti Katakrin rakenteen ja keskittyi turvallisuusluokitellun tiedon tietoturvallisuuteen. Katakri-nimi oli käytössä jo niin vakiintunut, että se päätettiin säilyttää jatkossakin tämän viranomaisten auditointityökalun nimessä.

Katakrin neljännen version päivitystyö ja hallinnointi on ollut NSA:n yhteistyöryhmän alatyöryhmäksi perustetun ohjausryhmän vastuulla. Ohjausryhmässä ovat olleet edustettuina toimivaltaisten viranomaistahojen lisäksi elinkeinoelämän edustajat. Katakri on osoittautunut toimivaksi työkaluksi, jolla on merkittävää arvoa myös Suomen maineelle tietoturvallisuuteen liittyvissä kysymyksissä sekä suomalaiselle yritysmaailmalle laajemminkin. Katakrin neljännen version päivitystyön taustalla keskeisimpänä tekijänä on ollut vastaaminen 2020 alusta uusiutuneen kansallisen lainsäädännön muutoksiin. Neljännessä versiossa on huomioitu myös digitaalisen tietojenkäsittelyn kehitysaskeleita sekä täydennetty työkalun tarkoituksenmukaiseen käyttöön liittyviä ohjeistuksia.

Tavoitteet

Päivitetyn auditointityökalun tavoitteena on varmistaa, että auditoitava organisaatio on toteuttanut riittävät turvallisuusjärjestelyt turvallisuusluokiteltujen tietojen oikeudettoman paljastumisen tai oikeudettoman käytön ehkäisemiseksi. Turvallisuusriskien hallinnalla pyritään toteuttamaan turvatoimien yhdistelmä, jolla saadaan aikaan tyydyttävä tasapaino käyttäjien vaatimusten, kustannusten ja turvallisuuteen kohdistuvan jäännösriskin välillä.

Tavoitteena on samalla turvata ja edistää suomalaisyritysten kilpailukykyä sekä tukea viranomaisten ja elinkeinoelämän turvallisuustyötä. Yhteinen auditointikriteeristö varmistaa yhdenmukaiset auditointitulokset sekä soveltamiskäytännöt.

Jakelu

Jakelu:

Elinkeinoelämän keskusliitto EK
Finnish Information Security Cluster FISC
Insta Group Oy
Keskuskauppakamari
Liikenne- ja viestintäministeriö
Oikeusministeriö
Puolustusministeriö
Pääesikunta
Sisäministeriö
Suojelupoliisi
Suomen Yrittäjät
Traficom
Työ- ja elinkeinoministeriö
Valtioneuvoston kanslia
Valtiovarainministeriö

Vastausohjeet vastaanottajille

Lausunto pyydetään antamaan vastaamalla lausuntopalvelu.fi:ssä julkaistuun lausuntopyyntöön.

Lausunnon antaakseen vastaajan tulee rekisteröityä ja kirjautua lausuntopalvelu.fi:hin. Lausuntoa ei tarvitse lähettää erikseen sähköpostitse tai postitse. Tarkemmat ohjeet palvelun käyttämiseksi löytyvät lausuntopalvelu.fi:n sivuilta Ohjeet > Käyttöohjeet. Palvelun käyttöönoton tukea voi pyytää osoitteesta lausunto.om@om.fi.

Tämä lausuntopyyntö on lähetetty vain sähköisenä. Lausuntoja voivat lähettää myös muut kuin jakelussa mainitut tahot.

Aikataulu, Vastausohjeet vastaanottajille, Valmistelijat

Aikataulu

Lausunnot pyydetään toimittamaan 15.11.2020 mennessä vastaamalla tähän lausuntopyyntöön.

Valmistelijat

Lisätietoja antavat lakimies Ville Salmi (ville.salmi@formin.fi) sekä lakimies Mikael Raivio (mikael.raivio@formin.fi).

Asiasanat

tietoturvallisuus

yritysturvallisuus

Liitteet:

Katakri-2020-lausuntoversio-2020-10-14.pdf -

Kirjaudu ja anna lausunto

Lausunnonantajia: 23

Lausunnonantajan lausunto
- Voitte kirjoittaa lausuntonne alla olevaan tekstikenttään
  
  TietoEVRY Oyj
  
  Päivitetty:
  
  15.11.2020
  
  TietoEVRY Oyj kiittää mahdollisuudesta esittää näkemyksensä Katakri Tietoturvallisuuden auditointityökalusta viranomaisille. TietoEVRYn näkökulmasta keskeistä on taata kansalaisten ja yhteiskunnan muiden toimijoiden luottamus digitaalisiin palveluihin, jota myös tämä tietoturvallisuuden kehittämistoimenpide edesauttaa. Digitalisaation avulla voimme parantaa tuottavuutta, joka on välttämätöntä yhteiskunnan kokonaisturvallisuuden ylläpitämiseksi ja parantamiseksi. TietoEVRY on seurannut Katakrin päivityksen valmistelua sen eri vaiheissa. TietoEVRY yhtyy EK:n ja FISC:n lausunnoissaan esittämiin näkemyksiin ja huomioihin.
  
  Työ- ja elinkeinoministeriö, Henkilöstö- ja hallintoyksikkö
  
  Päivitetty:
  
  15.11.2020
  
  Työ- ja elinkeinoministeriö esittää seuraavat kommentit Katakri 2020 –lausuntoasiaan. Yleiset kommentit:¨ Katakri on viranomaisten tietoturvallisuuden auditointityökalu, jota voidaan käyttää arvioitaessa kohdeorganisaation kykyä suojata kansallista tai kansainvälistä turvallisuusluokiteltua tietoa. Virallisen aseman ja hyväksynnän omaava Katakri ja sen tavoitteet ovat kannatettavia. Katakri on jaettu kolmeen osa-alueeseen. Lukijaa helpottaisi, jos Katakrissa olisi myös: o sisällysluettelo (lukija saisi Katakrista kokonaiskuvan muodostettua yhdellä silmäyksellä ja olisi helpompi löytää haluttu kohta ko. dokumentista)? o sanasto (helpottaisi lukijaa, kun Katakrissa käytettävät keskeiset käsitteet olisi koottu suppeaan sanastoon. Esimerkkejä Katakrin käsitteistä: asiakirja, päätelaite, säilytysyksikkö, tietoaineisto, tietojärjestelmä, tietojenkäsittely-ympäristö, turvatoimet jne.). Katakrin päivittäminen: ympäröivä lainsäädäntö ja tietoturvastandardit jne. sekä toimintaympäristö muuttuvat yhä tiuhempaan. Miten Katakri on ajateltu pitää ajan tasalla riittävän nopealla päivityssyklillä ketterästi? Vai päivitetäänkö Katakria jatkossakin nykyiseen tapaan muutaman vuoden välein? Myös poikkeaman tekemiseen pitäisi olla malli. Covid-19 –koronavirustilanne on aiheuttanut sen, että TL IV -tason ja jopa TL III –tason tietoja käsitellään kotioloissa. Kotioloissa esim. kassakaappisäilytys on käytännössä mahdoton vaatimus. Samoin tietoliikenneyhteys kotipisteelle on kiinteistökohtainen, jossa käyttäjällä ei ole varmuutta ns. reititinpisteiden turvallisuudesta. Käsittely voidaan virastokohtaisella poikkeamalla, mutta organisaatio ei voi päätöstä tehdessä olla varma etäpisteiden riittävästä turvallisuudesta. Katakri keskittyy turvallisuusluokitteluun. Organisaatioilla on myös tarve käyttää auditointikriteeristöä erityisten henkilötietojen, henkilötietojen kasaantumisen ja yrityssalaisuuksia omaavien rekistereiden sekä salassa pidettävän aineiston turvaamisen varmistamiseen. Tämä olisi jatkossa otettava nykyistä paremmin huomioon. Hallinnollinen tietoturvallisuus: T-01 – Johdon tuki, ohjaus ja vastuu – Turvallisuusperiaatteet Johtaminen luo pohjan muiden toimintojen turvaamiselle. Tilannetietoisuus on edellytys toiminnan johtamiselle ja valvonnalle sekä päätösten valmistelulle ja toimeenpanolle. Viestintä on osa johtamista. Tehokas varautuminen ja häiriötilanteiden hallinta edellyttää joustavaa, oikea-aikaista ja tiivistä yhteistyötä johtamisen, tilannekuvan ja viestinnän välillä. Pitäisikö tässä kohtaa myös ottaa huomioon se, että tarjolla olisi myös koulutusta, jolla varmistetaan, että henkilöstöllä on riittävä tuntemus voimassa olevista velvoitteista, esim. säädöksistä, määräyksistä sekä ohjeista ja turvallisuusperiaatteista? Tai sitten viittaus koulutuksen osalta kohtaan T-05 tai T-12? T-02 – Turvallisuustyön tehtävien ja vastuiden määrittäminen Miten huomioidaan ostopalveluna hankittavien henkilöiden tehtävät ja vastuut tietoturvallisuuden osalta? Vastuiden lisäksi olisi hyvä varmistaa se, että resursseille varataan myös työaikaa tehtävien hoitamiseen laadukkaasti ilman, että tätä työtä tehdään kaiken muun työn ohella ja niiden lisäksi. Erilaisten työtilojen tunnushallintaa ollaan ulkoistettu työtilan omistajille. Tällöin tunnushallintaa ei voida tarkistaa erikseen it-toimijoiden toimesta, jolloin riski työtiloissa turhaan roikkuvista tunnuksista ja riskeistä kasvaa. Olisi hyvä tunnista työtilan omistajan peruspelisäännöt ja tätä kautta myös käyttäjän vastuu, joka nykyisessä ICT-ympäristössä kasvaa palveluiden määrän kasvun myötä sekä sen, että harva uusi palvelu perustetaan ns. organisaation konesaliin. T-03- Tietoturvallisuusriskien hallinta Vaatimus: ”Organisaatio on arvioinut olennaiset turvallisuusluokiteltuihin tietoihin kohdistuvat riskit ja mitoittanut tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti.” Tässä vaatimuksena ja oletuksena on se, että organisaatiossa tiedot ovat tunnistettu ja luokiteltu turvallisuusluokiteltuihin tietoihin (käyttörajoitettu, luottamuksellinen, salainen tieto). Toisin sanoen puhutaanko tässä kohtaa kuitenkin pelkästään tietoriskeistä (turvallisuusluokiteltujen tietojen osalta)? Pitäisikö tällöin otsikon olla turvaluokiteltujen tietoihin kohdistuva riskien hallinta tms? T-04 – Turvallisuusohjeistus Ketterän ohjelmistokehityksen myötä dokumentointi halutaan minimoida? Tämä on selkeä vaatimus dokumentaatiolle sekä sille, että dokumentaatio pidetään ajan tasalla. T-06 – Toimintahäiriöt ja poikkeustilanteet Toimintahäiriöissä ja poikkeuksellisten tapahtumien vaikutuksista huolimatta pitäisi varmistua myös tietojen saatavuudesta kaikille niille, joilla on oikeus käsitellä ko. tietoja. Se ei yksin riitä, että tiedot on suojattu hätätilanteessa, estetään tietoihin luvaton pääsy sekä turvataan niiden eheys (oikeellisuus). Näiden lisäksi tiedot on myös suojattu teknisiltä ja fyysisiltä vahingoilta. Toimintahäiriössä ja poikkeuksellisten tapahtumien seurauksena pitäisi myös varmistua siitä, että tiedot ovat myös luotettavia. Esim. järjestelmässä oleva toimintahäiriö ei saa muuttaa tai poistaa tietoja tms. T-08 – Tietojen luokitus Nyt vaatimus kappaleessa tietojen luokittelu keskittyy pelkästään aineistojen ja asiakirjojen ”paperimaailmaan”, vaikka kuitenkin lisätietoja kohdassa viitataan tietojärjestelmään ja tietoaineistoihin. Pitäisikö vaatimusosuudessa jotenkin paremmin ottaa huomioon tietojen käsittely myös tietojärjestelmissä? Tai jos tässä kohtaa halutaan keskittyä ”paperi maailmaan”, niin voisiko otsikko olla sen mukainen, esim. tietojen luokitus aineistojen ja asiakirjojen osalta? T-09 – Työsuhteen aikaiset muutokset turvallisuusluokiteltujen tietojen käsittelyssä Tämä asia koskee myös ostopalveluhenkilöitä, esim. ohjelmistokehittäjiä, tietokantojen ylläpitäjät ym. vastaavat palvelun tuottajat? T-10 – Henkilöstön luotettavuuden arviointi Tämä asia koskee myös ostopalveluhenkilöitä, esim. järjestelmien kehittäjät, tietokantojen ylläpitäjät ym. vastaavat palvelun tuottajat? T-11 – Salassapito- ja vaitiolovelvollisuus Sama kommentti kuin edellä. T-12 – Turvallisuuskoulutus Vaatimus kohta: ”2) Turvallisuusluokiteltuun tietoon kohdistuvat uhat sekä ajantasaiset ohjeet (vrt. T-04) on koulutettu henkilöstölle” Eikö tässä kohtaa uhkien lisäksi pitäisi myös olla tunnistetut riskit, jotka kohdistuvat turvallisuusluokiteltuihin tietoihin? Riskit olisi hyvä myös kertoa koulutettavalla henkilöstölle, jotta he omassa toiminnassaan osaavat ottaa mahdolliset riskit huomioon. Viittaus T-03? Fyysinen turvallisuus: Miten julkiset alueet/tilat otetaan huomioon osana fyysisten tilojen ”kehäsuojausta”? Virastotalon vuokralaisella eli käyttäjällä ei ole näkyvyyttä, että onko esim. verkkolaitteet toimivaltaisen viranomaisen hyväksymiä. Samoin eri ohjelmistojen osalta pitäisi olla saatavilla lista, jolta hyväksyntä ja taso olisi löydettävissä. Tekninen turvallisuus: I-01 Tietojenkäsittely-ympäristön suojattu yhteen liittäminen – Verkon rakenteellinen turvallisuus Erittäin hyvä, että kasautumisvaikutukset on myös otettu huomioon. Kasautumisvaikutukset pilvipalveluissa? Tämä saattaa asettaa pilvipalveluille lisävaatimuksia, esim. kun esim. raportteja tuottavat alustat ja tietoaineistot (tietovarannot) ovat pilvessä. Tosin siihen vaikuttaa myös se, mitä kaikkia tietoja pilvipalvelualustoille viedään? Myös Katakri- ja Pitukri-kriteeristöt pitäisi yhdistää kokonaisuudeksi, koska Pilvipalveluiden siirtymän kriteeristö esim. hybrid-mallissa tarvitsee molempia. Mobiililaitteiden käyttömahdollisuudet tietojen käsittelyyn ovat kasvaneet. Mobiiliympäristöjä ei juurikaan ole auditoitu tai poikkeamakäsittelystä ei ole tietoa. Katakri-kriteeristö ei tarjoa tähän mahdollistavaa ratkaisua. I-10 Monitasoinen suojaaminen – Turvallisuuteen liittyvien tapahtumien jäljitettävyys Lokien säilytys ja vastuu jakautuu valtiollisilla toimijoilla monen toimijan vastuulle. Tekninen-, sovellus-, käyttö-, ohjelmistoloki hallintaan on eri asiantuntijat, pääsy ja säilytyssäännöt sekä menetelmät. Tämä on omiaan kasvattamaan säilytettävien lokien määrää ja säilytysaikaa, koska selvää omistajaa, joka päättää kokonaisuudesta, ei tunnisteta. Vaatimus-osioon kommentti: ”2) Tietojärjestelmien käytöstä ja niistä tehtävistä tietojen luovutuksista kerätään tarpeelliset lokitiedot, jos tietojärjestelmän käyttö edellyttää tunnistautumista tai muuta kirjautumista. Lokitietojen käyttötarkoituksena on tietojärjestelmissä olevien tietojen käytön ja luovutuksen seuranta sekä tietojärjestelmän teknisten virheiden selvittäminen.” Mitä kaikkia lokityyppejä järjestelmän osalta olisi syytä kerätä, jotta tämä vaatimus täyttyisi esim. ylläpitoloki, käyttöloki (tapahtumaloki), muutosloki, virheloki, pääsynvalvontaloki? Jotta voidaan varmistua siitä, että lokitietoja ei manipuloida niin itse lokijärjestelmästä on myös tuotettava lokia, jotta nähdään se, miten itse lokia on käsitelty? Mikäli lokit siirretään laitteelta toiselle on varmistuttava siitä, että lokit pysyy eheänä ja luotettavina koko siirron ajan. On myös varmistuttava siitä, että tuotetut lokit ovat siinä muodossa, että niitä voidaan jälkeenpäin hyödyntää. Vastaavasti on varmistettava, että lokeille tulevat aikaleimat olisi keskenään valideja, jos jokin tilanne vaatii sen, että eri laitteiden lokitietoja pitää hyödyntää jonkin asian selvittelyssä? Lokia kuitenkin syntyy monista eri laitteista ja järjestelmistä. Lokien toteutuksesta: Olisiko hyvä, että lokien käyttämää ja varaamaa tilaa seurattaisi aktiivisesti ja tarvittaessa tilaa voidaan kasvattaa ”lennosta”? I-osioon liittyviä yleisempiä kommentteja: Havaintona se, että osa vaatimuksista kohdistuu suoraan Valtoriin (+sen alihankkijoihin) ja niiden tarjoamiin palveluihin. Onko mitään rajoituksia sille, että omia päätelaitteita (tietokonetta, kännykkää, tablettia) ei voisi tai saisi käyttää turvaluokiteltujen tietojen käsittelyssä? Kari Klemm Hallitusneuvos, valmiuspäällikkö
  
  Nixu Oyj
  
  Päivitetty:
  
  15.11.2020
  
  Nixu Oyj:n ja Nixu Certification Oy:n kommentteja Katakri 2020 - Tietoturvallisuuden auditointityökaluun Niki Klaus, toimitusjohtaja, Nixu Certification Oy Olli-Pekka Soini, johtava tarkastaja, Nixu Certification Oy Tuomas Herranen, vanhempi tietoturvakonsultti, Nixu Oyj Pekka Viitasalo, johtava tietoturvakonsultti, Nixu Oyj Johannes Kossila, tietoturvapäällikkö, Nixu Oyj Tämä lausunto on tarkoitettu vain Katakri päivitystyöstä vastaavan ohjausryhmän ja sen ohjauksessa olevien työryhmien käyttöön Tausta Nixu Certification Oy toimii Traficomin hyväksymänä tietoturvallisuuden arviointilaitoksena, ja käyttää päivittään työssään Katakri arviointikriteeristöä. Auditointitoimeksiantojen lisäksi Nixu Certification Oy noudattaa omassa toiminnassaan Katakri-vaatimuksia suojaten näin asiakkaidensa tietoa. Emoyhtiö Nixu Oyj noudattaa tietyiltä osin asiakasvaatimusten takia Katakria sekä tekee asiakastoimeksiantoja, joissa huomioidaan Katakri-vaatimukset. Katakri 2015 on siis meille hyvin tuttu, ja on ilahduttavaa, että sitä kehitetään edelleen paremmaksi. Kommentit Yleistä • Johdanto luvussa kuvataan hyvin Katakrin käyttötarkoitusta. Ehdotamme, että lukua tai liitettä tarkennetaan siten, että siitä ilmenee myös seuraava asia o Viranomaishyväksyntä F-osa-alueelle edellyttää T-osa-alueen hyväksyttyä auditointia. Viranomaishyväksyntä I-osa-alueelle edellyttää sekä T että F- osa-alueen hyväksyttyä auditointia. • Vaatimusten numerointi on ymmärrettävästi muuttunut. Ehdotamme, että numerointi pyritään pitämään samana, ellei ole pakottavaa tarvetta muuttaa sitä (esim. uusi vaatimus edellisten väliin). Monet ohjeet ja määräykset viittaavat Katakrin nykyisiin vaatimusnumeroihin, jolloin numeroinnin pysyminen samana vähentää turhaa päivitystyötä ja sekaannuksia myöhemmin. • Katakrin ja PiTuKrin suhde pitäisi selkeyttää. Nyt ei ole selvää milloin käytetään Katakria ja milloin PiTuKria. Olemme havainneet, että tietojärjestelmiä halutaan tarkastella PiTuKrin mukaisesti vain siksi, että ne on myyty SaaS palveluina, vaikka ne eivät eroa perinteisestä tietojärjestelmästä mitenkään, eli Katakri soveltuisi paremmin. • Vaatimusten "Muita lisätietoja" -kohdan käyttöä tulisi selventää viitattujen standardien osalta. Jos organisaatio noudattaa jo mainittuja standardeja niin ollaanko silloin myös yhteensopiva Katakrin kanssa? Mikä on siis Katakrin ja standardien suhde. Tätä voisi selventää esimerkiksi alun kappaleessa "Katakrin rakenne". • Katakrissa käytetään useasti englannin kielisiä termejä ja viittauksia ulkomaalaisten viranomaisten termeihin ja tahoihin (esim. FSC, NSA, yms.). Näiden poistaminen tekstin seasta ja omaan liitteeseen laittaminen selkeyttäisi dokumenttia. • Katakriin tulisi määritellä seuranta-auditointikäytännöt. Nykyinen 3 vuoden todistus ilman seuranta-auditointeja ei vastaa hyviä käytäntöjä. o Lisäksi Katakrissa tulisi painottaa vaatimuksia, jotka edellyttävät auditoinnin kohteelta jatkuvaa tietoturvan ylläpitoa. • Muihin kriteeristöihin viittaamisen esittäminen voisi olla selkeämpää, esimerkiksi o T-01 lisätietoja kohta on ISO/IEC 27002:2017 5.1.1; ISO/IEC 27001:2017 5.1; ISO/IEC 27001:2017 5.2; ISO/IEC 27001:2017 5.3; ISO/IEC 27001:2017 9.3; PiTuKri TJ-01; Tiedonhallintalautakunnan suositus 2020:18 o Selkeämpi tapa voisi olla ISO/IEC 27002:2017 5.1.1 ISO/IEC 27001:2017 5.1, 5.2, 5.3, 9.3 Osa-alue T: Turvallisuusjohtaminen • T-osa-alueessa voisi korostaa jatkuvan parantamisen merkitystä (ISO 27001 10.2) tietoturvallisuuden hallintajärjestelmälle. • Katakriin tulisi sisällyttää selkeä vaatimus siitä, että auditoitava kohde dokumentoi esim. tietovuokaaviolla miten turvaluokiteltua tietoa säilytetään ja siirretään. • T-06 – Toimintahäiriöt ja poikkeustilanteet. Kohta ei korosta jatkuvuudenhallintaa, kuten Katakri 2015 T 05. Olisi parempi, jos ehkäisevien kontrollien lisäksi nostettaisiin esille myös reaktiiviset kontrolleja. • Vaatimuksenmukaisuus tulisi ottaa mukaan Katakriin. Kohteen tulee tunnistaa mitä ulkopuolisia vaatimuksia omaan toimintaan kohdistuu. • T-08 - Tietojen luokittelu kohdassa mainitaan, että ” Tätä vaatimusta sovelletaan vain viranomaisen tietojenhallintaan”. Koska tiedonluokittelu on olennainen osa riskien ymmärtämistä ja oikeanlaisen turvatason määrittämistä, olisi asia syytä huomioida myös laajemmin kuin pelkästään viranomaisen tiedon osalta. Osa-alue F: Fyysinen turvallisuus • F-03. Lisätietoja kohdassa esitellään eurooppalaisia standardeja. Kohdassa mainitaan myös paperisilput. Mielestämme paperisilppuun liittyvä standardi ei kuulu tähän, vaan F-08.4 vaatimukseen, jossa se jo mainitaan. • F-03, alakohdat 2e) ja 2h) kameravalvontaan liittyen voisi yhdistää Osa-alue I: Tekninen tietoturvallisuus • I-08 liittyviin esimerkkeihin voisi sisällyttää yleisempien käyttöjärjestelmien ja sovelluskomponenttien tyypillisiä kovennuskohteita. • I-19 - Ohjelmistohaavoittuvuuksien hallinta: Kohta ei ota selkeästi huomioon haavoittuvuuksien kriittisyysluokittelua. Kohdassa pitäisi asettaa vaatimuksia kriittisten tietojen nopeampaan paikkaamiseen tai muiden ehkäisevien toimenpiteiden välittömään aloittamiseen tilanteen mukaisesti. • Fyysisten turvallisuuden vaatimukset tulisi selkeästi keskittää F-osa-alueeseen eikä sisällyttää niitä I-osa-alueesen. Kieliasu • Katakri 2020 on pääosin hyvää kieltä. Siellä kuitenkin toistuu muutama huonokielinen sana. ”Taho” ja ”toimesta” ovat tällaisia. Ilmaus ”ja/tai” on yleensä korvattavissa sanalla ”tai”. • Katakri 2020 jokaisessa vaatimuksessa toistuva otsikko ”Lähde (906/2019 ja/tai 1101/2019)” olisi tiiviimmin ilmaistuna ”Lähde”. Varsinkin, kun kohta ei edes ole otsikon mukainen, vaan niissä viitataan myös asiakirjaan ”VM 2020”. Epäselväksi jää, mikä on tämä VM 2020, johon toistuvasti viitataan, sillä sitä ei käsitellä alun johdannossa. • Joitain lyhenteitä käytetään yksittäisissä kohdissa häiritsevän paljon, osin tarpeettomasti. ”Ko.” on usein tarpeeton, sillä asiayhteys kertoo viittauksen. Vain, jos sekaannuksen vaara on ilmeinen – kuten, jos lukijan oletetaan voivan sekoittaa kahden turvaluokan vaatimukset – on lyhenteen käyttäminen perusteltu. Tällöinkin sana ”kyseisen” on huoliteltua kieltä. • Kauttaviivaa käytetään ohjeessa varsin usein, vaikka se voitaisiin korvata sanalla ”tai”. • Esimerkkejä ohjeessa on paljon, mikä helpottaa sen soveltamista huomattavasti. Näiden aluksi on lähes säännöllisesti lyhenne ”esim.” Jos on erityinen tarve kertoa, ettei kyseessä ole tyhjentävä lista, eikä lyhennettä voi jättää pois, kannattaa toistoa välttää ilmaisuilla kuten ”kuten” ja ”vaikka”.
  
  Tulli.fi, Hallinto-osasto/organisaatioturvallisuus
  
  Päivitetty:
  
  14.11.2020
  
  Yleistä: Arviointikriteeristön kokonaisuuden rakenteen ja sen osa-aluejaon säilyttäminen edelleen kolmeen pääosa-alueeseen nähdään selkeänä ja tarkoituksenmukaisena ratkaisuna. Lisäksi hyvänä nähdään vaatimusten jakaminen kunkin turvallisuusalueen osalta omaan alalukuun sekä niiden sisällön eteneminen (arviointiprosessin mukaisesti). Asiakokonaisuutta selkiyttävänä nähdään myös se, että arviointikriteeristössä on nyt selkeämmin tuotu esille toimivaltaisia viranomaisia ja viranomaishyväksyntää ja siihen liittyvää toimivaltaa koskevat asiat sekä tarkennus siitä, että kriteeristö on laadittu käytettäväksi lähtökohtaisesti normaalioloissa. Muut merkittävimmät muutokset koskevat vaatimuksiin liittyviä kirjauksia T-osio (organisaation johdon vastuu), I-osiossa olevat tarkennukset ja esimerkit sekä erityisesti F- osion rakenne ja sisältö, joita on uudistettu 1.1.2020 voimaan tulleiden lakimuutosten myötä huomattavasti. Hyvänä tarkennuksena nähdään myös se, että arviointikriteeristössä tuodaan nyt selkeämmin esille se, että sitä voidaan käyttää sekä kansallisen että kansainvälisen/EU turvallisuusluokitellun tiedon suojaamisvaatimusten arvioinnissa. Turvallisuusriskienarviointi ja niiden hallinnan merkityksen korostuneempi esille tuominen arviointikriteeristössä nähdään tarpeellisena. Huomioitavana asiana tässä yhteydessä on hyvä kuitenkin nostaa esille on se, että turvallisuusriskienarvioimisen tueksi tulisi olla saatavilla yhtenäisiä (viranomaishyväksyntä: Arvioija/arvioinninkohde/itsearviointi) tarkoitettuja ohjeistuksia ja arviointityökaluja. Suhde muuhun ohjeistukseen: Kansallista turvallisuusauditointikriteeristöä käytetään viranomaisten tietojärjestelmien turvallisuuden arvioinneissa. Viranomaisten tiedonhallintaa ja turvallisuusluokiteltujen tietojen luokittelua, käsittelyä ja niiden asianmukaiseen suojaamiseen liittyviä ohjeita valmistellaan ja annetaan tiedonhallintalautakunnan ja sen alajaoston kautta, tämän lisäksi valtiovarainministeriö voi antaa erillisiä ohjeita ja määräyksiä mm. hallinnon turvallisuusverkkotoimintaa (TUVE) koskien. Turvallisuusluokiteltua tietoa koskevien vaatimusten ja niiden toteuttamisen arviointiperusteet tuleekin nähdä kokonaisuudessa (kuten on jo huomioitukin esim. VM:n ohjeen 2020:19 osalta) edellä mainittu riskienarviointiasia huomioon ottaen mahdollisimman yhdenmukaisia. Hyvänä ja tarpeellisena mainintana tähän asiaan liittyen nähdään myös se, että Salassa pidettävän tiedon suojaamisen arvioinnin osalta on mainittu, että niiden suojaamisen voidaan käyttää TL IV vaatimuksia soveltuvin osin. T – Turvallisuusjohtaminen: T – 03: Viranomaisen tekemä riskiarviointi korostuu tiedon suojaamisen toimenpiteiden valinnassa, silti riskienhallintaa on käsitelty aikaisempaa suppeammin, erityisesti toteutusesimerkkien osalta. T – 07: Turvallisuuspoikkeamienhallinta. Tässä voisi olla esimerkkejä poikkeamista, jotka edellyttävät viranomaisyhteydenottoa. T – 10: Henkilöstön luotettavuuden arvioinnissa vaatimukset on määritelty aikaisempaa täsmällisemmin ja lisätiedot selkiyttävät asiaa paremmin. T – 11: Salassapitovelvollisuutta on täsmennetty verrattuna aikaisempaa versioon, jossa asia oli mainittu vain lyhyesti (salassapito-ja vaitiolositoumusmenettely). T – 13: Tiedonsaantitarve ja käsittelyoikeudet vaatimukset on määritelty selkeästi, mutta ei ole esitetty toteutusesimerkkiä, joka erityisesti kohdan 1 osalta olisi toivottavaa. F – Fyysinen turvallisuus: Yleistä: Fyysisten alueiden terminologiasta: turvallisuusalue / turva-alue voivat mennä luettaessa herkästi sekaisin. F – 03: Fyysisten turvatoimien valinta: standardien esittäminen yhteenvetotaulukossa on hyvä uudistus. Kassakaappien standardia ja suositusta (luokka II) voidaan pitää perusteltuna. Vastaavien ”turvakaappien” käyttöä ei ole enää mainittu turvallisuusluokitellulle aineistolle; mikä on muutos aikaisempaan TL III aineiston osalta, mikä saattaa aiheuttaa organisaatioissa tarpeita uusien kassakaappien hankinnalle, ja mikäli TL III aineistoa on paljon, voivat kustannukset olla merkittäviä. F – 04: Turvallisuusalueiden vähimmäisvaatimuksia on monilta osin täsmennetty, esimerkiksi turvallisuusluokitellun tiedon käsittely ja säilyttäminen on nostettu erilliseksi luvuksi sekä lisätty asiaa hyvin havainnollistava taulukko. TLIII säilytys: työaseman säilytys turva-alueella, tai turvallisuusalueiden ulkopuolella (esim. kotona, autossa) ja hallinnollisella alueella vain valvotussa tilassa tai lukitussa toimistokalusteessa turvapussissa tai vastaavalla tavalla. Miten ohjeistetaan työasemien säilytys etätyössä? F – 05.4 ja F – 06.6: Äänieristyksen vaatimusta sekä arviointia on täsmennetty, erityisesti ohjeellisen ilmaääneneristävyysluvun esittämistä voidaan pitää hyvänä. F – 05.5: Hallinnollisella alueella ei edellytetä murtohälytysjärjestelmää; mikäli se toteutetaan, on suositus standardin mukainen luokka 2; mikäli samassa järjestelmässä on turva-alueen tiloja, on suositus standardin mukainen luokka 3; tämä ei tule kovinkaan hyvin esiin, kun hallinnollisen ja turva-alueen vähimmäisvaatimukset käsitellään erikseen. F – 06.1: Turva-aluetta rajaavien rakenteiden standardin mukainen luokka on muuttunut. Hätäpoistumistieratkaisuista on lisätty selkeyttävä kirjaus. F – 06.2: Kahdensuuntainen kulunvalvonta turva-alueen rajalla on uusi erikseen arvioitava vaatimus, aikaisemmin tuli toteuttaa vain tilaan, jossa TL II aineistojen käsittelyä. F – 06.7: Murtohälytysjärjestelmä ja sen ilmoituksensiirto sekä vartioimisliikkeen hälytyskeskus on määritelty aikaisempaa huomattavasti täsmällisemmin, jota voidaan pitää selkeinä ja perusteltuina. F – 06.10: Turva-alue, tiedon käsittely ja säilyttäminen: TL-III ja korkeampi tietoaineisto turvallisessa säilytysratkaisussa TAI tilan rakenteiden tulee täyttää vaatimukset SFS-EN-1627 luokka RC3. Kts. kohta: F – 03. I – Tekninen tietoturvallisuus: Teknisen tietoturvallisuuden ratkaisuihin liittyviä huomiota: Sähköisen käsittely-ympäristön tulee sijaita Katakrissa viitattavan PiTuKrin mukaan kokonaisuudessaan Suomessa, mikä on tarkoituksenmukainen vaatimus. Tulisiko tämä mainita myös Katakrissa itsessään? Pilviteknologian käytön mahdollisuus erikseen määritellyt edellytyksen huomioiden kaipaisi kuitenkin tarkentamista. Käytetäänkö pilviteknologian vaatimusten arvioinnissa esim. pelkästään PiTUKria vai mihin vaatimukset tai ratkaisujen hyväksynnät tulevat valtionhallinnossa perustumaan? Kasautumisvaikutus on määriteltävä ja huomioitava, mutta haasteena tässä on riittävien ohjeellisten arvojen tai tietoaineistomääriin tai muihin perusteisiin kuten riskiarvioon perustuvien kasautumista koskevien päätösten ohjeistamisen hankaluus. TEMPEST-turvatoimet tulee huomioida TL III ja TL II käsittely-ympäristöissä. TEMPEST- turvatoimien nostaminen selkeästi esille nähdään hyvänä, mutta asia vaatisi kuitenkin enemmän käytännön ohjeistusta niin TEMPEST- asioita koskevien riskiarvioiden kuin myös vaatimusten toteuttamisen osalta. Millä rakenteilla tai suojauksilla saadaan riittäviä suojauksia aikaan? Ja minkälaisia jäännösriskejä TEMPEST-suojaamisessa voidaan hyväksyä? Tarkoittaako TEMPEST- vaatimusten kunnollinen huomioiminen aina esimerkiksi säteily-arvojen mittaamista? Kts myös kohta F– 04, F –5.8, joissa TEMPEST-asiaa ja EMP ja HMP-suojaustarpeen arviointia on käsitelty. Myös EMP- ja HPM- arviointin voisi Katakrissa olla suoraa lisäohjeistusta.
  
  Suomen Tunnustuksellinen Luterilainen Kirkko, Tietoturvavastaava
  
  Päivitetty:
  
  14.11.2020
  
  1. Yleistä 1.1 Katakrin johdannosta on nyt poistettu teksti "Katakria ei ole tarkoitettu käytettäväksi sellaisenaan julkisen hankinnan turvallisuusvaatimuksena. Julkisessa hankinnassa tarkat turvallisuusvaatimukset tulisi määrittää erikseen ottaen huomioon hankintaa koskevat riskit ja erityistarpeet." Tekstin säilyttämistä kannattaisi kuitenkin harkita, koska se osaltaan ohjaisi julkisyhteisöjä kohti oikeanlaisia hankintamenettelyjä, ts. käytetään riittävästi aikaa ja vaivaa turvallisuusvaatimusten määrittämiseen jo hankinnan alussa. 1.2 Osa Lisätieto-kenttien teksteistä vaikuttaisi olevan käytännössä tarkoitettu ehdottomiksi vaatimuksiksi, osa taas aidoiksi esimerkeiksi. Vastaavasti osa Vaatimus-kentissä olevista teksteistä ei nyt vaikuta aidoilta vaatimuksilta. Olisi hyvä tehdä tarkistuskierros läpi dokumentin ja tarvittaessa hienosäätää joidenkin tekstien sijainnit akselilla vaatimus / lisätieto. Samalla voisi vastaavasti tarkentaa verbimuotojen käyttö (=> lisätietoihin esim. ”tehdään”, mutta vaatimuksiin muodossa ”tulee tehdä”). Esimerkiksi kohdan F-01 lisätiedoissa vaikuttaisi olevan kuvattuna varsinainen vaatimus, ja vaatimuskentässä on nyt kuvattu ”tavoitteita”. Katakrin johdannon mukaan lisätietokentissä esitetään kuitenkin vain toteutusesimerkkejä, jotka eivät ole sitovia. Samoin F-02 lisätietojen 2. kappaleen 1. virke vaikuttaisi mahdollisesti olevan tarkoitettu aidoksi vaatimukseksi, kuten myös esim. F-06.5 lisätietojen 2. virke. Edelleen kohdan F-06.9 vaatimuksessa 2 viitataan tarkastusten suorittamiseen, mutta konditionaalissa. Onko tämä oikeasti vaatimus vai suositus? (=> joko konditionaali imperatiiviksi tai siirto lisätietoihin). Muutamia muita vastaavia esimerkkejä on esitetty alempana osa-aluekohtaisissa kommenteissa. 1.3 Useassa kohdassa Katakria esitetään edelleen vaatimus salasanan, kassakaapin numeroyhdistelmän tms. koodin vaihtamisesta tietyin aikavälein, vaikkei olisi viitteitä sen paljastumisesta. Tällaisen vaatimuksen on jo muutamien vuosien ajan yleisesti katsottu tosiasiallisesti heikentävän tietoturvallisuutta, koska se käytännössä lisää riskiä sille, että määräyksistä huolimatta salasana tms. kuitenkin kirjataan jonnekin ylös – mahdollisesti vieläpä heikosti suojattuna. Vrt. esim. NIST SP 800-63B, kohta 5.1.1.2 (”Memorized secret verifiers”), jonne suositus päivitettiin vuonna 2017. 1.4 Useissa kohdissa viitataan standardeihin ISO/IEC 27001:2017 ja 27002:2017. Näiden uusin versio on kuitenkin vuodelta 2013. Vuonna 2017 on julkaistu kansalliset standardit SFS-EN ISO/IEC 27001:2017 ja 27002:2017. 1.5 ”Tiedon kasautumisvaikutus” esiintyy yhä muutamassa kohdassa Katakrin osa-aluetta I, vaikka viittaukset siihen onkin jo poistettu osa-alueesta F. Myöskään asetus asiakirjojen turvallisuusluokittelusta valtionhallinnossa (1101/2019), tiedonhallintalaki (906/2019) tai julkisuuslaki (1999/621) eivät näyttäisi tuntevan kasautumisvaikutusta, vaan käsittelevät turvallisuusluokittelua ainoastaan asiakirjatasolla. Katakrin johdannossa puolestaan todetaan: ”Katakri itsessään ei aseta tietoturvallisuudelle ehdottomia vaatimuksia, vaan siihen kootut vaatimukset perustuvat voimassa olevaan lainsäädäntöön ja Suomea sitoviin kansainvälisiin tietoturvallisuusvelvoitteisiin”. Myös kasautumisvaikutuksen soveltaminen käytäntöön lienee vähintäänkin ongelmallista, mikäli halutaan toimia systemaattisesti ja varmistua siitä, että tehdyt ratkaisut voidaan myös jälkikäteen perustella (ajatellen esim. rajankäyntiä siitä, minkä kaikkien yksittäisten tietoalijoukkojen poistaminen riittäisi lopettamaan aiemmin ”määrätyn” kasautumisvaikutuksen voimassaolon, tai kuka ja millä perusteella vastaisi lisääntyneistä kustannuksista, mikäli turvallisuusluokituksen katsottaisiin kasautumisvaikutuksen vuoksi nousevan esim. tietyn järjestelmäkokonaisuuden elinkaaren puolivälissä tehtävän järjestelmäpäivityksen yhteydessä). Myös Elinkeinoelämän Keskusliitto on kiinnittänyt turvallisuusluokitteluasetuksen luonnokseen 28.8.2019 antamassaan lausunnossa huomiota koko kasautumisvaikutuskäsitteen ongelmallisuuteen: ”… huomio tietojen kasautumisvaikutuksen merkityksestä turvallisuusluokitteluun voi muodostua ongelmalliseksi tulkita. Kasautumisvaikutuksen korostaminen saattaa johtaa ylilyönteihin, jotka heikentävät merkittävästi toiminnan tehokkuutta ja tietojen sujuvaa käyttämistä” (ks. lausuntopalvelu.fi). Luontevinta olisikin poistaa kasautumisvaikutus tässä vaiheessa myös Katakrin osa-alueesta I. 1.6 Luonnoksessa olevat hyperlinkeiltä näyttävät tekstit eivät ole toimivia hyperlinkkejä. 2. Osa-alue T 2.1 (T-01): Vaatimuksen alku kannattaisi muuttaa selväksi vaatimukseksi ”Organisaation johdon tulee huolehtia siitä, että…”. 2.2 (T-02): Jos vaatimus FSO:n nimittämisestä yritysturvallisuusselvitysten yhteydessä on aito vaatimus (kuten mahdollisesti vaikuttaisi olevan), se tulisi siirtää Lisätietoja-kohdasta Vaatimus-kohdan alle. 2.3 (T-08): Vaatimuksesta 1 b) ilmenee, että ”liitteellä” tarkoitetaan tässä asiakirjan sisäistä osaa (”liite” rinnastuu siis esim. asiakirjan lukuihin) eikä asiakirjan sisältöön liittyvää erillistä asiakirjaa. Tässä valossa vaatimus 1 c) näyttäisi vievän turvallisuusluokitteluvaatimuksen lakien ja asetusten säätämältä asiakirjatasolta koskemaan yksittäisen asiakirjan eri osia. Tämä on käytännössä ongelmallista ja mahdollisesti myös vastoin Katakrin johdannossa esitettyä periaatetta ”Katakri itsessään ei aseta tietoturvallisuudelle ehdottomia vaatimuksia, vaan siihen kootut vaatimukset perustuvat voimassa olevaan lainsäädäntöön ja Suomea sitoviin kansainvälisiin tietoturvallisuusvelvoitteisiin”. Jos liitteillä tarkoitetaan tässä erillisiä liitedokumentteja, tämä olisi hyvä tuoda selvästi esiin. Tosin asiakirjan turvallisuusluokan merkitseminen toisen asiakirjan sisään toisi mukanaan omat haasteensa esim. asiakirjojen päivitystilanteissa, joissa liitteen turvallisuusluokitus muuttuu. 2.4 (T-12): Lisätieto-kohdan ensimmäisen virkkeen asiasisältö sisältyy jo vaatimuksiin, joten sen voi poistaa. Jos toteutusesimerkin virke 2 sisältää aidon ehdottoman vaatimuksen, se tulisi siirtää otsikon ”Vaatimus” alle. 3. Osa-alue F 3.1 Johdannon 3. kappaleessa ”ennen, kun” => ”ennen kuin” 3.2 (F-01): Vaatimuksen kohta 1 a) viitannee kohtaan F-04. => Tulisiko fyysisten turvatoimien toteuttamis- ja arviointiprosessin kuvioon piirtää näkyviin myös kohta F-04? 3.3 (F-02): Lisätietoja-kohdan 2. kappale vaikuttaa aidoilta vaatimuksilta, mutta on kuvattu yleisenä lisätietona, jotka Katakrin johdannon mukaan eivät ole sitovia. Kumman mukaan pitäisi toimia? 3.4 (F-03): Vaatimuksesta 2 syntyy nyt vaikutelma, että viranomainen ei jatkossa enää ainoastaan arvioisi organisaatioiden turvatoimia, vaan olisi velvoitettu myös tarjoamaan niiden ”määrittelypalvelua”. 3.5 (F-05.2): Vaatimuksen tekstistä syntyy vaikutelma, että jatkossa ainoastaan viranomainen myöntäisi (”valtuuttaa”) pääsyoikeudet hallinnolliselle alueelle. Tämä olisi merkittävä muutos nykyiseen. Lisäksi vaatimuksesta syntyy vaikutelma, että viranomainen myös tarjoaisi organisaatioille pääsyoikeuksien ja avainhallinnan menettelyjen määrittelypalvelua. 3.6 (F-05.7): Vaatimuksen 2 toinen virke on konditionaalissa. Onko kyseessä vaatimus vai suositus? 3.7 (F-05.8): Vaatimuksessa 2 ”mahdollinen tilan valvonta tulee toteuttaa F-05.5-vaatimuksen mukaisesti”, mutta F-05.5 toteaa: ”Ei vaatimuksia”. Lisäksi vaatimuksen kohta 3 e) on yksi esimerkki nykysuositusten vastaisesta vaatimuksesta (Vrt. NIST SP 800-63B tämän lausunnon kohdassa 1.3). Lisätieto-kohdan 2. kappale on kirjoitettu kuten vaatimus, mutta sijaitsee nyt Lisätieto-kohdassa. Tulisi joko selventää tai siirtää otsikon ”Vaatimus” alle. Lisäksi ammattimies saa normaalit toimistokalusteet tiirikoitua helposti auki ilman murtojälkiä, joten huomautus tulisi käytännössä ehkä jättää pois (tuskin lukittujen toimistokalusteiden käyttöä halutaan tässä yhteydessä kieltää kokonaan). 3.8 (F-06.3): Vrt. kommentti edellä luonnoksen kohtaan F-05.2. 3.9 (F-06.4): Mitä tarkoittaa ”alueella tavanomaisesti säilytettyjen tietojen korkein turvallisuusluokka on ilmoitettava selkeästi” (missä ja kenelle ilmoitettava)? Vrt. myös F-08.1, jossa tiedon turvallisuusluokittelu on nimenomaan salattava. Lisäksi vaatimuksen 2 b) loppuosa ”…on varmistettu, ettei vierailijoilla ole pääsyä…” on ristiriidassa vaatimuksen alkuosan kanssa ”Jos… merkitsee käytännössä välitöntä pääsyä…”. 3.10 (F-06.5): Kuuluvatko Lisätietoja-kohdan kaksi viimeistä virkettä otsikon ”Vaatimus” alle alakohdiksi f ja g? 3.11 (F-06.8): ”huomioon ottaen” => ”mukaan lukien”. 3.12 (F-06.10). Vaatimus 1 ei nykymuodossaan sisällä lainkaan vaatimusta (”…voi säilyttää…”). Vaatimuksen 2 kahden viimeisen virkkeen ajatus tulisi kääntää päinvastaiseksi: Jos turva-alueen rakenteet jo tarjoavat tietojen säilyttämisen edellyttämän turvallisuustason, tällöin ei tulisi enää tarpeettomasti vaatia erillistä säilytysratkaisua ”mikäli mahdollista”. Näin vältytään helpommin vaatimuksen ylitulkitsemiselta, mikä ei käytännössä lisäisi turvallisuutta, mutta haittaisi työntekoa ja lisäisi kustannuksia. Kohdassa 3 e) on yksi esimerkki nykysuositusten vastaisesta vaatimuksesta (Vrt. NIST SP 800-63B tämän lausunnon kohdassa 1.3). Lisätieto-kohdan 3. kappale on kirjoitettu kuten vaatimus, mutta sijaitsee Lisätieto-kohdassa. Lisäksi ammattimies saa normaalit toimistokalusteet tiirikoitua helposti auki ilman murtojälkiä, joten huomautus tulisi varmaankin jättää pois (tuskin lukittujen toimistokalusteiden käyttöä halutaan tässäkään yhteydessä kieltää kokonaan). 4. Osa-alue I 4.1 (I-01, I-06 ja I-20): Lisätietoja-kohdassa on kuvattu kasautumisvaikutusta (tosin Katakrin johdannon mukaan lisätietokentissä ei kuvata ehdottomia vaatimuksia). Luontevinta olisi poistaa kasautumisvaikutus tästä sekä kohdista I-06 ja I-20. Osa-alueesta F se jo onkin poistettu tästä luonnoksesta. Ks. myös aiemmat kommentit kasautumisvaikutuksesta kohdassa 1.5 tämän lausunnon alkupuolella. 4.2 (I-05): Vaatimuksen ulottamista langattomiin hiiriin tulisi vielä harkita, ja poistaa vaatimus kokonaan ainakin suojaustasoilta TL IV-III (Vrt. Katakrin johdanto: ”Turvallisuusriskien hallinnalla on pyrittävä toteuttamaan turvatoimien yhdistelmä, jolla saadaan aikaan tyydyttävä tasapaino käyttäjien vaatimusten, kustannusten ja turvallisuuteen kohdistuvan jäännösriskin välillä.”). 4.3 (I-07): Toteutusesimerkin kohdassa 6 b) on yksi esimerkki nykysuositusten vastaisesta vaatimuksesta (”…pakottaa salasanan vaihdon sopivin määräajoin”) Vrt. NIST SP 800-63B edellä tämän lausunnon kohdassa 1.3. 4.4 (I-08): Lisätieto-kohdassa on yhä mainittu USGCB, joka ylläpito lienee jäänyt tasolle Windows 7 / RHEL 5, eikä Microsoftin DSC Environment Analyzeriakaan ole päivitetty useaan vuoteen. Näiden sijaan voisi harkita mainostaa ACSC:n yksinkertaisia mutta tehokkaita ”Essential Eight” –mitigointistrategioita sekä Microsoftin ajantasaista Security Compliance Toolkitia, jonka käyttöönotto ja ylläpito sujunee organisaatioilta keskimäärin selvästi kustannustehokkaammin kuin esim. DISA:n STIG:ien. 4.5 (I-10): Vaatimusta 3 voisi olla hyvä selventää, sillä tämän kohdan lisätiedot on nyt kuvattu laajemmin ja varsin eri tavalla kuin Katakri 2015:n vastaavan kohdan (I 18 vaatimus 4) lisätiedot. Nyt vaatimuksesta voi yhdessä lisätieto-kentän kanssa lukien saada käsityksen, että dokumentin jokainen avaus, tallennus, kopiointi, tulostus jne. tulee diarioida – mikä tuskin lienee tarkoitus? Toivottavasti tarkoituksena ei tässä myöskään ole käytännössä vaatia em. toimintojen lokitusta käyttöjärjestelmätasolla, johon lisätiedoissa mainittu toteutusesimerkki mahdollisesti viittaa. Massiivinen lokitus ilman tehokasta analysointia ei tuota paljon lisäarvoa, ja sekä massiivinen lokitus että tehokkaasti toteutettu analysointi voivat kumpikin helposti nostaa kustannuksia tasolle, jolle ei käytännössä ehkä tahdo löytyä maksajaa. (Vrt. Katakrin johdanto: ”Turvallisuusriskien hallinnalla on pyrittävä toteuttamaan turvatoimien yhdistelmä, jolla saadaan aikaan tyydyttävä tasapaino käyttäjien vaatimusten, kustannusten ja turvallisuuteen kohdistuvan jäännösriskin välillä.”). 4.6 (I-14): Tuoko vaatimus 3 tähän kohtaan mitään lisäarvoa? Vrt. esim. T-03 sekä Liite III. Myös vaatimuksen 2 voisi poistaa duplikaattina, varsinkin jos siinä oleva viittaus TL III-II:een siirretään osaksi vaatimusta 1 (tosin lisätiedoissahan rajataan jo TL IV pois koko vaatimuksesta). 4.7 (I-17): Vaatimukset 2 ja 3 eivät sisällä nyt mitään vaatimusta. Vaatimus 4) puhuu tietovaranoista eikä tietojen käsittelystä, mikä on I-17:n otsikko. Lisäksi Katakrin kohta F-04 antaa luvan TL IV –tietojen säilytykseenkin myös turvallisuusalueiden ulkopuolella lisäehtojen täyttyessä, kun I-17 vaatimus 4 edellyttää nyt tietojärjestelmien sijoittamista aina turvallisuusalueelle. Tulisiko tämä vaatimus poistaa kokonaan ja laittaa sen sijaan kohtaan ”Lisätietoja” muistutukseksi viittaus kohdan F-04 asettamiin vaatimuksiin tietojen säilytyksestä? Vrt. myös vaatimukset 5 ja 6. 5. Liite III 5.1 ”Eri tiedon omistajilla on toisistaan eroava riskinottohalukkuus. Toisaalta eri organisaatioiden riskienhallintaa ohjaavat toisistaan eroavat tekijät.” => ”Tietojen omistajilla on toisistaan eroavia riskinottohalukkuuksia. Lisäksi eri organisaatioiden riskienhallintaa ohjaavat osittain erilaiset tekijät.”
  
  Ruokavirasto, Talja Sauli
  
  Päivitetty:
  
  14.11.2020
  
  Pyydämme kiinnittämään huomiota kahteen kohtaan. 1. Katakrissa on useaan otteeseen viitattu Naton turvallisuusluokiteltujen tietojen käsittelyyn. Suomi ei toistaiseksi ole Naton virallinen jäsen (toki Nato-kumppani). Lisäksi suurin osa viranomaisista käsittelee ainoastaan kansallisesti turvallisuusluokiteltavaa tietoa, joten suosittelemme harkitsemaan Nato -termin tarkempaa käyttöä. 2. Kohta I-21. Käsittääksemme laskentakapasiteetin kasvu ei korreloidu silputun, paperisessa muodossa olleen tiedon kokoamiseen aikaisempaa tehokkaammin vaan ei paperisessa muodossa olevan tiedon kokoamiseen.
  
  Karhu Paula
  
  Päivitetty:
  
  13.11.2020
  
  Jatkuvaan kehittämiseen viitataan joissakin vaatimuksissa ja niihin liittyvissä lisätiedoissa. Omana vaatimuksenaan [tieto]turvallisuuden [hallintajärjestelmän] vaikuttavuuden kokonaisvaltainen, järjestelmällinen arviointi ja jatkuva parantaminen riskitietoisesti ei kriteeristössä esiinny missään osa-alueessa. Toiminnan omaehtoinen arviointi ja kehittäminen osoittaa organisaatiolta vastuullisuutta ja kypsyyttä ja on myös turvallisuusjohtamisessa keskeistä. Esim. tietoturvallisuuden testaaminen sekä havaitsemisen ja vasteen harjoittelu kuuluisivat tähän arvioinnin ja parantamisen malliin. Fyysisen turvallisuuden osa-alueelta toteutusesimerkkinä voivat olla esim. kokonaisturvallisuuskävelyt, joissa observoidaan monialaisesti ja annetaan palautetta tehtyjen turvallisuushavaintojen perusteella. Asian voisi harkita lisättäväksi omana vaatimuksenaan, kaikkia osa-alueita koskevana kokonaisuutena, osa-alueeseen T. Luonnoksen viitekehykseen kuuluvista asiakirjoista tätä aihetta on käsitelty johtamisjärjestelmästandardissa ISO/IEC 9001:2015 sekä mm. VAHTI-ohjeessa 2/2012, ICT-varautumisen vaatimukset, ja se mainitaan lyhyesti standardissa ISO/IEC 27001:2013 (luku 10.2).
  
  Finnish Information Security Cluster – Kyberala ry
  
  Päivitetty:
  
  13.11.2020
  
  Finnish Information Security Cluster – Kyberala ry (jäljempänä Kyberala) kiittää mahdollisuudesta lausua otsikossa olevasta asiasta. Yleisiä havaintoja Kyberala pitää hyvänä, että kriteeristöä on pyritty kehittämään osin joustavampaan suuntaan ja yhdistämään sujuvammin elinkeinoelämän turvallisuusmenettelyihin. Lähtökohtaisesti yksityiskohtaisten ja ehdottomina esitettyjen vaatimusten sijaan tulee aina pyrkiä turvallisuuden tavoitetilan kuvaamiseen sekä erilaisten toteutusesimerkkien tarjoamiseen. On syytä erityisesti korostaa, että kriteeristön kaltaisissa työkaluissa on tarpeen välttää yksityiskohtaisia ja joustamattomia teknisiä vaatimuksia, jotka vanhenevat nopeasti teknologian kehittyessä ja työelämän muuttuessa. On hyvin tärkeää, että kohdeyritykset voivat omaan riskienhallintaansa ja tarpeisiinsa nojaten päättää turvallisuutensa kehittämisestä, sen tavoitteista sekä erilaisten investointien suunnittelusta, vaikka yritykseen kohdistettaisiin viranomaisauditointi kriteeristöä käyttäen. Kyberala haluaa vielä erikseen korostaa turvallisuuden kehittämisen prosessimuotoisuutta sekä kohdeorganisaatioiden omien riskienhallintaprosessien ja turvallisuustavoitteiden merkitystä organisaation turvallisuuskyvykkyyksien kehittämisessä. Viranomaisen tietoturvallisuusauditoinnin ei tule olla kriteeristöön nojaavaa sanelua, joka olisi esimerkiksi ristiriidassa kohdeorganisaation omien tavoitteiden kanssa, vaan sen tulee tarjota ajatuksia kehittymiseen ja turvallisuuden tasapainoiseen parantamiseen yhteistyössä pidemmällä aikavälillä. Tietoturvallisuusinvestointien on oltava kohdeorganisaation tavoitteiden mukaisia ja niiden tulee tukea yrityksen kilpailukykyä. Käyttötarkoitus Kyberala esittää tarkennuksia kriteeristön käyttötarkoitukseen. Esimerkiksi julkisten hankintojen yhteydessä kriteeristöön on viitattu ajoittain tietoturvallisuuden vaatimuksina, vaikka kyse on vain viranomaisen työkalusta, ei vaatimuslistasta. Siten kriteeristön roolia ja tarkoitusta viranomaisen auditointityökaluna on syytä edelleen korostaa väärinkäsitysten välttämiseksi. Sen vuoksi kriteeristöön on syytä lisätä aiemmassa versiossa esillä ollut teksti: ”Katakria ei ole tarkoitettu käytettäväksi sellaisenaan julkisen hankinnan turvallisuusvaatimuksena…” Eräitä muita havaintoja Kriteeristössä todetaan, että joissain tapauksissa vähimmäissuojauksiin voidaan vaatia täydennyksiä uhka-arvion perusteella. Tämä voi olla tarpeellista, mutta asia kuvataan huomattavan epäselvästi, jolloin jää avoimeksi mihin ja kenen tekemään uhka-arvioon täydennykset perustuisivat. Lähtökohtaisesti laadittu uhka-arvio tulisi käsitellä yhdessä tiedon omistavan viranomaisen ja kohdeyrityksen riskienhallintaprosessissa, jolloin tarvittavista toimista sekä esimerkiksi hyväksyttävästä jäännösriskistä voidaan päättää johdonmukaisesti. Myös kriteeristöä soveltavien viranomaisten riskienhallintaosaamisen parantamiseen sekä elinkeinoelämän toimintamallien tuntemiseen on syytä edelleen panostaa lisää. Aiempiin versioihin nähden kriteeristössä esitettyjen vaatimusten numerointia on muutettu. Olisi vielä hyödyllistä arvioida, onko numerointia syytä muuttaa, ellei ole pakottavaa tarvetta muuttamiselle todella ole. Tämä huomioiden erityisesti se, että useat olemassa olevat ohjeet ja määräykset viittaavat kriteeristön nykyisen version vaatimusnumeroihin, jolloin numeroinnin pysyminen samana vähentää merkittävästi tarpeettomia sekaannuksia sekä eri dokumenttien päivitystyötä. Lausuttavana olevan kriteeristön ja Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri) suhde tulisi selkeyttää. Edelleen jää epäselväksi, milloin tulisi käyttää kriteeristöä ja milloin taas PiTuKria. Ylipäätään turvallinen, tehokas ja tuottava tiedonkäsittely pilvipalveluissa on kysymys, johon tulisi pohtia pilvipalveluiden kiistattomat hyödyt huomioivia ratkaisuja. Kriteeristö jättää tämän kysymyksen hyvin epäselväksi. Kyberala haluaa kiinnittää huomiota siihen, että kriteeristä painottaa edelleen vahvasti ainoastaan tiedon luottamuksellisuuden kontrolleja. Tällöin tietoturvallisuuden muut osa-alueet jäävät väistämättä heikompaan asemaan. Riskinä on tällöin turvallisuusinvestointien heikko panos-tuotos-suhde. Esimerkiksi panostaminen liiketoiminnantoiminnan jatkuvuuden turvaamiseen ja tietoturvallisuuden kokonaisuuden jatkuvaan parantamiseen (esim. ISO27001 10.2) voisivat tuottaa tehokkaampia tuloksia organisaation kokonaisturvallisuuden ja tuloksellisuuden näkökulmasta kuin keskittyminen ainoastaan tiedon luottamuksellisuuden turvaamiseen useilla kontrolleilla. Samoin esitettyjen ehkäisevien kontrollien lisäksi olisi tarpeen kiinnittää huomiota tietoturvallisuuden reaktiiviisiin kontrolleihin. Myös asianmukaiset suositukset seuranta-auditointikäytäntöihin sekä tiedon siirtämiseen ja säilyttämiseen liittyvien tietovuokaavioiden laatimiseen olisi hyvä määritellä. Yksityiskohtaiset huomiot Osio: Turvallisuusjohtaminen (T) Pyydetään huomioimaan, että osion voisi lähtökohtaisesti korvata myös voimassaolevalla ISO 27001 sertifikaatilla. T-06 Vaatimus -kohtaan on kirjattu: ”c) Turvallisuusluokitellut tiedot on suojattu teknisiltä ja fyysisiltä vahingoilta.” Yleistä -osioon taas on kirjattu: ”Organisaatiolla tulee olla varmuus siitä, että käsiteltävä tieto tai järjestelmä on suojattu fyysisiltä vahingoilta kuten tulipalot, vesivahingot tai ilkivalta sekä sähköisiä menetelmiä käyttäen aiheutetuilta fyysisiltä vahingoilta kuten laitteiden rikkoutuminen.” Huomautetaan, että aiemmassa kriteeristöversiossa kriittisten palvelin- ja laitetilojen toimintavaatimukset puuttuvat, vaikka kiinteistöautomaatiojärjestelmien haavoittuvuudet ovat yleisesti tiedossa. Näin ollen kriittisten palvelin- ja laitetilojen toimintavaatimusten lisääminen luonnosversioon aiemman version tavoin olisi perusteltua. Osio: Fyysinen turvallisuus (F) Kyberala huomauttaa, että fyysisten turvallisuuden vaatimukset tulisi selkeästi keskittää F-osioon, eikä sisällyttää niitä I-osioon, kuten tällä hetkellä. Luonnokseen on kirjattu seuraavasti: ”F-osa-alueen tekstissä käytettävällä termillä ”viranomainen” viitataan luovutettavan ja auditoinnin perusteena olevan turvallisuusluokitellun tiedon omistajaan, jonka on turvallisuusluokitteluasetuksen (1101/2019, 6 §) mukaan ennakolta varmistuttava siitä, että auditoinnin kohteelle luovutettavien turvallisuusluokiteltujen tietojen salassapidosta ja suojaamisesta huolehditaan asianmukaisesti. Käytännössä termi ”viranomainen” tarkoittaa Katakria käyttävää auditoijaa. Viranomaisella tarkoitetaan kuitenkin Suojelupoliisia tai Pääesikuntaa, mikäli fyysisten turvatoimien tavoitteiden täyttymisen arviointi kuuluu osaksi niiden lakisääteisiä tehtäviä (KvTituL 588/2004, 4 §; 726/2014, 9 § & 39 §). Tässä yhteydessä käsitteen ”viranomainen” kuvaus on tulkinnanvarainen, koska sillä viitataan useaan toimijaan. Ehdotamme käsitteistön tarkentamista ja selkeyttämistä näiltä osin. F-02 Johdanto-osaan on kirjattu: ”Riskien arvioinnissa tulee huomioida sekä tiedon haltijan että viranomaisen näkemys riskeistä ja valittujen turvatoimien riittävyydestä ja viranomaisen on hyväksyttävä fyysisiin turvatoimiin liittyvä jäännösriski.” Lähtökohtaisesti tietojen omistaja vastaa tiedonhallintasuunnitelmaan kuuluvasta riskiarvioinnista ja tietoturvatoimenpiteiden riittävyydestä. Tässäkin yhteydessä jää kuitenkin epäselväksi mihin sana ”viranomainen” viittaa juuri tässä tapauksessa? Onko kyse varsinaisesta käsiteltävän tiedon omistajasta vai auditoivasta viranomaisesta? F-03 Vartioimisliikkeen hälytyskeskukselle on esitetty yleisenä suosituksena SFS-EN ISO 9001:n mukaista sertifioitua laadunhallintajärjestelmää. Vaihtoehtoisesti liikkeen tulee olla arvioitu soveltuvin osin tätä standardia vastaavaksi. Suositus on haastavana, koska auditoitavalla organisaatiolla ei kaikissa tilanteissa ole kontrollia toimitilan vartiointiliikkeen valintaan. Vartioinnin järjestäminen on usein toimitilan omistajan vastuulla ja sisältyy osaksi vuokrasopimusta. Tällaisessa tilanteessa vuokralaisella on haastavaa edellyttää vartiointiliikkeeltä ko. sertifikaattia. Myöskin vartiointiliikkeen laadunhallintajärjestelmän arviointi voi osoittautua ongelmalliseksi, koska vuokralaisen ja vartiointiliikkeen välillä ei ole sopimussuhdetta. Ehdotetaan muutettavaksi siten, että vartioinnin järjestelyt arvioidaan aina tapauskohtaisesti ilman viittausta standardiin. F-05.2 Vaatimukseen on kirjattu: ”Ainoastaan viranomaisen asianmukaisesti valtuuttamilla henkilöillä on itsenäinen pääsy alueelle. Viranomaisen on määriteltävä alueen pääsyoikeuksien ja avainhallinnan menettelyt ja roolit.” On tarpeen selkeyttää, mihin käsite ”viranomainen” tässä viittaa. Toimittaja tuottaa palvelua, jonka turvallisuus arvioidaan kriteeristön mukaisesti. Olisi tarpeellista selventää, milloin tarvitaan erikseen ja yksittäisten henkilöiden osalta viranomaisen hyväksyntää. Kohtaa olisi tarpeen tarkentaa siten, että toimittajan vastuuhenkilö voisi myöntää pääsyoikeudet F-05.2 periaatteiden mukaisesti. F-05.4 Yleistä -osioon on kirjattu: ”Estämisellä tarkoitetaan tiedon suojaamista sekä henkilöiltä, joilla ei ole tiedonsaantitarvetta (need-to-know) kyseiseen keskusteltavaan tietoon että laittomalta tiedustelulta. Äänieristysvaatimus kohdistuu ainoastaan alueen niihin tiloihin, joissa keskustellaan turvallisuusluokitelluista tiedoista. Äänieristystä voidaan arvioida esimerkiksi kuuntelemalla keskustelua tilan ulkopuolelta ovien, seinien sekä ilmastointiputkien ja muiden läpivientien kohdalta. Tilan äänieristystä voidaan myös tarvittaessa verrata rakenteille annettavaan ilmaääneneristävyysvaatimukseen (40dB). Ilmaääneneristävyysvaatimus ei kuitenkaan sellaisenaan saa ohjata äänieristyksen arviointia. Äänieristysvaatimus voidaan tarvittaessa saavuttaa esimerkiksi tilan uudelleen sijoittelulla, rakenteiden ja läpivientien eristävyyden parantamisella tai arvioitavan tilan ulkopuolisten tilojen taustamelulla.” Esitetään vaihtoehtoista tekstiä: ”Ilmaääneneristysvaatimus turvaluokiteltua tietoa käsittelevälle tilalle määritetään standardin SFS-EN-ISO 717-1 mukaisesti. Ilmaääneneristävyys todetaan standardin SFS-EN-ISO 16283-1 mukaisesti tehdyllä mittauksella. Riittävä ilmanääneneristys tilalle, jossa käsitellään turvallisuusluokan III-I tietoja on standardoitua äänitasoeroa DnT,w käyttäen 52 desibeliä. Äänieristysvaatimus voidaan tarvittaessa saavuttaa esimerkiksi tilan uudelleen sijoittelulla, rakenteiden ja läpivientien eristävyyden parantamisella tai arvioitavan tilan ulkopuolisten tilojen taustamelulla.” F-06.7 Yleistä-kohdassa todetaan: ”Alueen tunkeutumisen ilmaisujärjestelmän hallinta tulee olla organisaation omassa hallinnassa.” Vaatimuksissa F-06.2 (ja F-05.2) taas todetaan: ”Kulunvalvontajärjestelmän hallinta voi olla ulkoistettu, jos se on hyvin hallinnoitu”. Kohtaa tulisi muuttaa siten, että tunkeutumisen ilmaisujärjestelmän hallinta voitaisiin ulkoistaa samoin edellytyksin kuin kulunvalvontajärjestelmän hallinta. Osio: Tekninen tietoturvallisuus (I) I-01 Yleisessä osassa on kirjattuna: ”Turvallisuusluokan ylitys hallintaliikenteen (vrt. I-04) osalta edellyttää toimivaltaisen viranomaisen ko. turvallisuusluokalle hyväksymää yhdyskäytäväratkaisua. Käytännössä hallintaliikenne rajataankin lähes poikkeuksetta turvallisuusluokittain.” Toteutusesimerkkejä: ”Turvallisuusluokan IV tietojenkäsittely-ympäristön yhdistäminen eri turvallisuusluokan ympäristöihin voidaan toteuttaa palomuuriratkaisuilla ja rajaamalla turvallisuuskriittisten alemman turvallisuusluokan ympäristöä käyttävien palvelujen (web-selailu, Internetin kautta reitittyvä sähköposti, ja vastaavat) liikenne kulkemaan erillisten sisältöä suodattavien välityspalvelinten kautta.” Tätä ei ilmeisesti sovelleta hallintaliikenteeseen? Tarvitaan selvennys siihen. I-05 On syytä selventää, tulkitaanko turva-alueen sisällä olevassa avokonttorissa langattoman hiiren käyttö mahdolliseksi, koska pääsy tilaan on rajattu erikseen hyväksytyille henkilöille. I-06 Vaatimuskohdassa "Tarkastusoikeuden ottaminen huomioon teknisessä toteutuksessa" on kirjaus: ”b) Luotettavaan loogiseen erotteluun (esim. hyväksytysti salatut virtuaalikoneet levyjärjestelmän asiakaskohtaisesti dedikoiduilla levyillä, ja tiedon/tietoliikenteen hyväksytty salaus yhteiskäyttöisillä verkkolaitteilla) perustuvat menetelmät soveltuvat turvallisuusluokille IV ja III.” On tarpeen selventää, tarkoitetaanko asiakaskohtaisesti dedikoidulla levyllä turvatasolle hyväksytystä jaetusta levyjärjestelmästä dedikoitua virtuaalilevyä. I-07 Toteutusesimerkin kohtaan 5 olisi tarpeen saada käytännön esimerkki siitä, miten yhteiskäyttöisen tunnuksen käyttö voidaan yksilöidä. Vaihtoehtoisesti tulisi pohtia vaatimuksen lieventämistä. Onko esimerkiksi mahdollista täydentää kohdan 6 b) vaatimusta salasanan pakotetusta vaihtamisesta tai voidaanko esimerkiksi hyödyntää NIST:n ohjeistusta asiasta? I-08 Kovennusesimerkin kohdasta 6 (”kohteen yhteydet ovat – aikarajoitettuja”) tulisi tarkentaa, tarkoittaako tämä hallintayhteyden keston rajoittamista tilanteessa sen ollessa ollut käyttämättä (idle), eli session kestolle pitää määrittää timeout? Vai tarkoitetaanko kohdassa järjesteltyä, jossa hallintaliittymään saa olla pääsy vain sillä hetkellä, kun sitä on erikseen pyydetty (time based authentication)? Jälkimmäinen tapaus tarkoittaisi kustannusten nousua ja kaikkia järjestelmiä ei ehkä edes ole mahdollista saada tämän tyyppisen toiminnon piiriin. Tämän lisäksi tällaiset järjestelmät aiheuttavat vakavan riskin liiketoiminnan jatkuvuudelle häiriötilanteissa. Mikäli kyseessä on jälkimmäinen käyttötapaus, olisiko vaatimusta mahdollista lieventää? Kovennusesimerkin kohta 9: Olisiko mahdollista saada tähän tarkennusta sen osalta, mitä tässä yhteydessä tarkoitetaan tuntemattomalla laitteella? I-10 Vaatimus 2: Tietojen luovutuksesta voisi olla lisätiedoissa tarkentavaa kuvausta. Esimerkiksi pitääkö sisällään tiedon katselua? Vai onko tässä kyse sähköisestä diaarista? I-11 Vaatimuksen toteuttaminen "lisätietoja"-kohdassa kuvatussa laajuudessa vaatii organisaatiolta / yritykseltä merkittäviä resursseja sekä työn että ohjelmistojen ja laitteiden osalta. Liiketoimintanäkökulmasta vaatimuksen täysimääräinen toteuttaminen ei vaikuta taloudellisesti kannattavalta tai perustellulta. Koneoppimiseen ja automaattiseen reagointiin kykenevät järjestelmät ovat saatavilla pääasiassa julkisista pilvipalveluista. On huomioitava, onko markkinoilta hankittavissa kohdassa kuvatun toiminnallisuuden saavuttamiseen vaadittavia on-premise -tuotteita riittävästi sekä kustannustehokkaasti. I-12 Pyydetään huomioimaan, että tietoturvallisuustuotteiden arviointi ja hyväksyntä – salausratkaisut -kohdasta puuttuu salatun tiedonsiirron vastaanottajan tunnistamisvaatimus. Salauksella tavoite on saattaa salattu tieto ainoastaan tarkoitetun tahon saataville. Samoin on huomioitava, että vastaanottajan tunnistamisvaatimus nousee myös tuoreesta lainsäädännöstä: Laki digitaalisten palvelujen tarjoamisesta 306/2019 6 § (Palvelun käyttäjän sähköinen tunnistaminen, noudattamispakko 23.9.2020 alkaen, koskee julkishallintoa ja sen rahoittamia yksityisiä palveluita) sekä Laki julkisen hallinnon tiedonhallinnasta (906/2019) 14 § Tietojen siirtäminen tietoverkossa (voimassa alkaen 1.1.2020, valtiolla ei siirtymäaikaa, muilla viranomaisilla 36 kk:n siirtymäaika) Sen vuoksi esitetään lisättäväksi seuraava lauseen kohdan yleistä -osaan: ”Salaustuotteen arvioinnissa on huomioitava salatun tiedonsiirron tarkoitetun saajan tunnistamisvaatimus (Laki digitaalisten palvelujen tarjoamisesta, Laki julkisen hallinnon tiedonhallinnasta).” I-18 Vaatimus 7 ja 8: Vaatimus 8 kuvannee poikkeusta vaatimukseen 7 liittyen. Tämä tulisi kuvata selkeämmin, vrt. I-17, vaatimus 5 ja 6. I-20 Vaatimuksessa todetaan: ”Turvallisuusluokiteltua tietoa sisältävät varmuuskopiot suojataan niiden elinkaaren ajan vähintään vastaavan tasoisilla menetelmillä, kuin millä alkuperäinen tieto on suojattu.”. Toteutusesimerkkiin taas on kirjattu: ”6) Varmuuskopioista on rekisterit ja varmuuskopioiden käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai tietoon (esimerkiksi dokumentin osaksi). (Vrt. I-18)” Olisi tarpeen tarkentaa, viittaako sana ”tieto” samaan asiaan vaatimuksessa ja toteutusesimerkissä? Toteutusesimerkin kohdassa 6 on viittaus (Vrt- I-18). Tulisiko tässä olla viittaus olla F-08.3:een?
  
  Senaatti-kiinteistöt, Samu Lauttamus, Senaatti-kiinteistöt / turvallisuusyksikkö, Lauttamus Samu
  
  Päivitetty:
  
  13.11.2020
  
  Kiitokset mahdollisuudesta kommentoida uutta KATAKRI-versiota. Senaatti-kiinteistöt haluaa tuoda seuraavat kommentit huomioitavaksi valmistelussa. Osa-alue F: Fyysinen turvallisuus F-03 Fyysisten turvatoimien valinta Kohtaan lisätietoja: 1. Kassakaapit Muutosehdotus yleisen suosituksen osalta: Riskiarvioinnin edellyttäessä kassakaappi suojataan kohdevalvonnalla. Alle 1000 kg kassakaappi tulee ankkuroida lattiaan, jotta standardin mukainen luokitus on voimassa. Kassakaappia ei suositella sijoitettavaksi rakennuksen ulkoseinää vasten. 2. Kameravalvontajärjestelmät Muutosehdotus yleisen suosituksen osalta: Kameravalvontajärjestelmän tallenteiden säilymisaika määritellään riskiperusteisesti organisaation poikkeamien havainnointikyvyn mukaisesti huomioiden ennakoivat ja reagoivat menettelyt. Suositeltava vähimmäisaika tallenteille on 1 kk. Lisäksi kameravalvontajärjestelmä voidaan liittää tunkeutumisen ilmaisujärjestelmään. 3. Ikkunat (suojauslasi) Muutosehdotus standardin luokan osalta: P4A-P5A ja P6B-P8B Muutosehdotus yleisen suosituksen osalta: P5A. Luokiteltu lasi tulisi ensisijaisti toteuttaa osana normaalia ikkunarakennetta. Jälkiasennettavia ratkaisuja tulee välttää. Perustelut: SFS EN 356 luokka P5A vastaa hidastevaikutukseltaan EN 1627 standardin luokkaa RC3 käsityökaluin toteutettavaa tunkeutumista vastaan. Suositukset lasi- ja ovirakenteiden osalta olisi syytä olla saman arvoisia hidastevaikutukseltaan. Turvallisuusalueiden vaatimukset F-05 - Hallinnollinen alue F-05.1 - alueen raja ja rakenteet (seinät, ovet ja ikkunat sekä lattia- ja kattorakenteet) Kohtaan lisätietoja: 1. Ikkunat (suojauslasi) Muutosehdotus standardin luokan osalta: P4A-P5A ja P6B-P8B Muutosehdotus yleisen suosituksen osalta: mikäli käytetään luokiteltua suojauslasia, tulisi se ensisijaisesti toteuttaa osana normaalia ikkunarakennetta. Jälkiasennettavia ratkaisuja tulisi välttää. F-05.4 Äänieristys Kohtaan lisätietoja. Lisäys- tai muutosehdotus sisältöön yleistä: Tilojen välinen ääneneristys on aina kokonaisuus – hyväkään väliseinä ei auta, jos ääni pääsee kulkemaan tilasta toiseen heikkoa sivuavaa rakennetta pitkin, ilmanvaihtokanavan kautta tai huonosti tiivistetyn oven raoista. Kokonaisuutta suunniteltaessa tai olemassa olevaa ratkaisua arvioitaessa tulee huomioida ilmanääneneristävyyden lisäksi myös runkoääneneristävyys. Ääneneristystiedot ilmaistaan Ilmaääni (R’w) ja Runkoääni (L’n,w). F-06 - Turva-alue F-06.1 Alueen raja ja rakenteet Kohtaan lisätietoja: 1. Ikkunat (suojauslasi) Muutosehdotus standardin luokan osalta: P4A-P5A ja P6B-P8B Muutosehdotus yleisen suosituksen osalta: P5A. Luokiteltu lasi tulisi ensisijaisti toteuttaa osana normaalia ikkunarakennetta. Jälkiasennettavia ratkaisuja tulee välttää. Perustelut: SFS EN 356 luokka P5A vastaa hidastevaikutukseltaan EN 1627 standardin luokkaa RC3 käsityökaluin toteutettavaa tunkeutumista vastaan. Suositukset lasi- ja ovirakenteiden osalta olisi syytä olla saman arvoisia hidastevaikutukseltaan. F-06.6 Äänieritys Lisätietoja: Kohtaan lisätietoja. Lisäys- tai muutosehdotus sisältöön yleistä: Tilojen välinen ääneneristys on aina kokonaisuus – hyväkään väliseinä ei auta, jos ääni pääsee kulkemaan tilasta toiseen heikkoa sivuavaa rakennetta pitkin, ilmanvaihtokanavan kautta tai huonosti tiivistetyn oven raoista. Kokonaisuutta suunniteltaessa tai olemassa olevaa ratkaisua arvioitaessa tulee huomioida ilmanääneneristävyyden lisäksi myös runkoääneneristävyys. Ääneneristystiedot ilmaistaan Ilmaääni (R’w) ja Runkoääni (L’n,w). Samu Lauttamus Senaatti-kiinteistöt, turvallisuusyksikkö
  
  Neste Oyj
  
  Päivitetty:
  
  13.11.2020
  
  Esim. kohdissa T-02 ja T-07 puhutaan toimivaltaisista turvallisuusviranomaisista. Toisaalta F- ja I-osuuksissa puhutaan yleisemmin toimivaltaisista viranomaisista. Onko termeillä käytännössä eroa? Kohdan T-06 vaatimustekstissä lukee “b) Suojaustoimenpiteet ovat riittävät estämään luvattoman pääsyn tietoihin ja tietojen ilmitulon sekä turvaamaan niiden eheyden ja käytettävyyden.“. Toisaalta lisätiedoissa on maininta “Tietoa tai järjestelmää tulee suojata asianmukaisin, mutta riskiarvioinnin perusteella tarkoituksenmukaisin toimin.”. Vähintään vaatimustekstin tässäkin kohdassa tulee tarkentaa, että kyseessä ovat turvallisuusluokitellut tiedot. On myös suositeltavaa pohtia onko kyseinen vaatimustekstin kohta tarpeellinen, sillä suojaustoimenpiteet on eritelty F- ja I-osa-alueissa ja voisi olettaa että niiden toteuttamisen kautta saavutetaan riittävä suojauksen taso. Kohdan I-01 Toteutusesimerkkejä A. Tiedonsiirtojärjestelmät; kuvattu “Verkkotason rajapinta” voisi olla parempi esittää kaaviomuodossa kuin tekstinä. Hahmottuisi lukijalle selkeämmin. Kohdassa I-02 Lisätietoja-osiossa viitataan “yleisiin verkkohyökkäyksiin”. Yleistä-kohdassa tarkennetaan hieman mitä yleisiin verkkohyökkäyksiin varautumiseen liittyy ja mainitaan muutama hyökkäystyyppi. Mitään kattavaa “yleisten verkkohyökkäysten” listaa ei kuitenkaan ole annettu, ja koska hyökkäystyypit elävät, jää termi turhan epämääräiseksi. Kohdassa I-19 Lisätietoja-osion Yleistä- ja Toteutusesimerkki-kohdat ovat osin päällekkäiset (Yleistä-kohdassa on ennemminkin esimerkki-kohtaan kuuluvaa sisältöä).
  
  Traficom, Turvallisuus, Dolk Lars
  
  Päivitetty:
  
  13.11.2020
  
  Liikenne- ja viestintävirasto Traficom kiittää mahdollisuutta antaa lausunnon ja on koonnut huomiot työkalun kehittämiseksi. YLEISET HUOMIOT Traficom pitää hyvänä, että Katakri on päivitetty nykypäivään huomioiden erityisesti tietojenkäsittelyn ja hallintakeinojen yleisen kehityksen sekä työkalun käyttöön liittyvät ohjeistukset. Työkalun viimeistelyssä pyydetään kiinnittämään huomiota kielelliseen ulkoasuun ja tapaan esittää asioita. Etenkin I-osa-alue poikkeaa T- ja F-osa-alueista, sillä I:ssä on verrattavan paljon kuvaavaa ja selittävää tekstiä, kun taas erityisesti F:ssä asiat esitetään hyvin lyhyesti, jopa luetteloina. Katakri on laajasti käytössä eri viranomaisilla ja yrityksillä. Väärinkäsitysten ja virhetulkintojen välttämiseksi olisikin suositeltavaa, että myös T:ssä ja F:ssä käytettäisiin kuvaavampia ja taustoittavampia tekstejä. Toisaalta I:n asiasisältö on luonteeltaan muita osa-alueita laajempi ja monitahoisempi, mistä johtuen kattavat kuvaukset ovat erityisesti I:ssä hyvin perusteltuja. TARKEMMAT OSA-ALUEKOHTAISET HUOMIOT TURVALLISUUSJOHTAMINEN (T-osa-alue) Traficom pitää T-osa-alueen täsmällisempää kohdentamista turvallisuusluokitellun tiedon suojaamiseen perusteltuna. Valinta tukee suoraan Katakrin yleisimpiä käyttötapauksia ja selkeyttää myös koko työkalun käyttötarkoitusta. T-03 Kohdan lisätiedoissa on kuvattu sanallisesti riskienhallintaprosessi, mutta siitä puuttuu riskien tunnistamisvaihe, mikä on hyvin oleellinen osa organisaation riskienhallintaa. Lisäksi prosessin loppupäästä puuttuvat hallintakeinojen arviointi-, päättämis- ja toimeenpanovaiheet. T-04 Kohdan lisätiedoissa on määritelty organisaatioturvallisuuden kannalta keskeisiä ohjeita. Tietojen suojaamisen lähtökohta on niiden luokittelu, mutta asiaa sivuava ohje puuttuu, joten keskeiseksi ohjeeksi olisi syytä nostaa tiedonluokitteluohje. Yrityksissä noudatetaan omia luokittelukäytäntöjä, joten luokitteluohjeen tulisi sisältää mm. määritelmän, millä tavalla viranomaisen luokittelemat asiakirjat suhteutetaan sisäiseen luokitukseen ja käsittelykäytäntöihin. Asiaa sivutaan myös kohdassa T-08. T-06 Kohdan vaatimuksissa on edellytetty organisaatioita huomioimaan turvallisuusluokitellun tiedon suojaaminen hätätilanteissa. Hätätilanne-termin sijaan voisi käyttää termiä "arjen häiriötilanteissa ja poikkeusoloissa", jos vaatimus halutaan ulottaa kaikenlaisiin poikkeaviin tilanteisiin. T-07 Kohdan vaatimuksissa on avattu, mitä asianmukainen poikkeamien käsittelyllä tarkoitetaan. Esitetään, että kohtaan lisätään lause: "Organisaatiolla tulee olla poikkeamien käsittelyprosessi, joka ottaa kantaa vähintään tilanteen vakavuuden määrittelemiseen, lisävahinkojen estämiseen, todisteiden keräämiseen, tilanteen selvittämiseen, korjaavien toimenpiteiden toteuttamiseen ja tilanteesta oppimiseen." Traficom esittää, että kohdan T-07 lisätietoja-osion ensimmäistä kappaletta muokataan kuulumaan seuraavasti: "Turvallisuusluokiteltuihin tietoihin liittyvien tietoturvallisuuspoikkeamien hallinnalla pyritään varmistamaan, että organisaatio kykenee toimimaan tehokkaasti ei-toivotuissa, odottamattomissa tilanteissa, minimoiden vahingot ja palauttaen tilanteen normaaliksi sekä varmistamaan, ettei samankaltainen poikkeama ole mahdollinen muualla organisaatiossa. Tehokas poikkeamienhallinta edellyttää myös riittävää resursointia." T-09 Kohdan lisätietojen viimeisen kappaleen loppuun esitetään lisättäväksi lause, joka voisi kuulua esimerkiksi seuraavasti: "Organisaatiossa on tarvetta informoida henkilömuutoksista myös henkilöstöä tiedon käsittelyoikeuden päättymisestä." T-10 Kohdassa esitetään vaatimuksia henkilöstön luotettavuuden arvioinnille, mutta kohta käsitteleekin vain turvallisuusselvitysmenettelyä. Luotettavuuden arvioinnin voisi sisältää tarpeen mukaan myös tutkintojen ja opintosuoritusten sekä aiempien työtehtävien todentaminen, sillä nämä eivät kuulu turvallisuusselvityksen piiriin. Lisäksi tulee harkita huumausainetestausta työtehtävästä riippuen. FYYSINEN TURVALLISUUS (F-osa-alue) Traficom kokee, että F-osa-alueessa on huomioitu turvallisuusjärjestelyihin liittyviä nykyaikaisia toteutusratkaisuja, jotka parantavat turvallisuustasoa. Asiasisältöä esitetään tarkennettavaksi seuraavaksi esitetyillä tavoilla. F-osa-alueessa on toistoa, kun hallinnollisen alueen ja turva-alueen vaatimukset ovat omina vaatimuskohtinaan, vaikka turva-alueen vaatimuksissa valtaosa on samaa kuin hallinnollisen alueen vaatimuksissa. Jos on tarkoituksenmukaista pitää nämä omina erillisinä vaatimuksina, olisivat ne lukemisen helpottamiseksi synkronoitava keskenään. Nyt esimerkiksi F-05.4 käsittelee äänieristystä ja taas F-06.4 vierailijoita. Traficom näkisi Katakrin osa-alueiden yhteneväisyyden näkökulmasta perustelluksi, että myös F-osa-alueen lähdeviittaukset pidettäisiin lain ja pykälän, mutta ei enää momentin tarkkuudella. F-osion useiden alakappaleiden lähteenä käytetyn VM 2020:19 -asiakirjan osalta tulisi käyttää tarkempaa viittausta kuin pelkkä sivunumero. Esimerkiksi lukuun ja kohtaan viittaaminen toisi riittävää tarkkuutta. F-01 Vaatimuksen mukaan fyysisten turvatoimien tavoitteena on estää luvaton pääsy turvallisuusluokiteltuun tietoon. Organisaation toiminnan ja jatkuvuuden kannalta myös toiminnan suojaamisella on suuri merkitys. Suojaamisen tavoite tulisi laajentaa koskemaan myös toimintaa siltä osin, kun se liittyy turvallisuusluokitellun tiedon käsittelyyn. Nykymuotoilussa painopiste olisi vain tiedon luottamuksellisuuden ja eheyden varmistamisessa, mutta käytettävyys näkökulmaa ei ole. Esimerkiksi johtokeskustoiminnan kannalta on oleellista suojata tiedon saatavuutta suojaamalla myös johtokeskuksen ja siihen liittyvien konesalien toimintaa sabotoinnilta ja toiminnan häiritsemiseltä. Vaatimusosion ensimmäisen lauseen muotoilu voisi olla seuraava: "Fyysisten turvatoimien tavoitteena on estää luvaton pääsy turvallisuusluokiteltuihin tietoihin sekä varmistaa toiminnan häiriöttömyys." Mikäli KATAKRI F-osion on tarkoitus estää vain luvaton pääsy tietoon, on syytä poistaa maininta mm. EMP- ja HPM-suojauksista, sillä ne ovat tällöin epärelevantteja hallintakeinoja. F-03 Vaatimuksen kohdassa 1d ja F-06.7 lisätietoja-osiossa on määritelty vaatimuksia vartioinnille. Esitetään lisättäväksi seuraava lause: "Vartiointihenkilöstön osaamisen, kyvykkyyden ja työvälineiden tulee olla riittävät suhteessa toimintaympäristön riskeihin." F-04 ja F-06.10 Kohdissa mainitaan TEMPEST-riskien arvioinnissa myös EMP- ja HPM-suojauksen tarpeellisuuden arviointi. TEMPEST-riski liittyy tiedon luottamuksellisuuden vaarantumiseen ja elektromagneettiset pulssit (EMP) sekä korkeataajuiset mikroaallot (HPM) vaarantavat taas tiedon käytettävyyden, joten EMP- ja HPM-riskejä ei voi luetella TEMPEST-riskiin liittyvinä asioina, joten ne on syytä erottaa omaksi asiaksi. F-05.3 Kohdassa vierailijoille on asetettu vaatimukseksi vain saatettuna oleminen, joten esitetään lisättäväksi "On varmistettava, ettei vierailulla vaaranneta tiedon luottamuksellisuutta." F-05.7, F-06.9 ja F-07 Kohdissa laitteiden ennakkotarkastuksista puhuttaessa tulisi huomio kiinnittää myös turva-alueen ja teknisen turva-alueen LVIJSA-laitteistoihin (lämpö, vesi, ilmanvaihto, jäähdytys, sähkö ja automaatio) sekä esitystekniikkaan. Ennakkotarkastus tulisi kohdentaa em. laitteisiin ja käyttäjien henkilökohtaiset mobiilipäätelaitteet, älykellot jne on perusteltua jättää tilan ulkopuolelle. Lause "Mikäli kyseisten elektronisten laitteiden tarkastaminen ei ole mahdollista tai hyväksyntää ei voida todentaa (esim. matkapuhelimet, älykellot, jne.), laitteet tulee jättää tilan ulkopuolelle esimerkiksi tähän tarkoitukseen varattuun säilytysratkaisuun " esitetään muotoiltavaksi seuraavasti: "Mikäli kyseisten elektronisten laitteiden tarkastaminen ei ole mahdollista luotettavasti (esim. matkapuhelimet, älykellot, jne.), laitteet tulee jättää tilan ulkopuolelle esimerkiksi tähän tarkoitukseen varattuun säilytysratkaisuun." F-05.8 ja F-06.10 Vaatimuskohdissa edellytetään numeroyhdistelmien ulkoa muistamista, mikä on käytännössä hyvin haastava vaatimus täyttää ja todentaa. Suositeltavaa olisi mahdollistaa esimerkiksi turvallisesti hallitun salasanahallintaohjelman käytön. F-06.1 Vaatimukset mahdollistavat välttämättömyys-perusteella hätäpoistumisen turva-alueen kautta. Samassa yhteydessä on tarpeellista mainita, ettei tällaisen oven ja sitä ympäröivien seinärakenteiden tarvitse olla murtosuojattuja. F-06.2 Vaatimus-osion ainoa lause esitetään muotoiltavan seuraavasti: "Alueen rajalla todennetaan alueelle tulevan ja sieltä poistuvan kulkuoikeus sekä estetään luvaton pääsy." Vaatimuksen lisätietoja-osion viimeisestä alakohdasta esitetään poistettavan mahdollisuus käyttää vanhentunutta teknologiaa, jolloin kohta kuuluisi seuraavasti: "Tunnisteiden tulee käyttää nykyaikaista ja salattua lukutekniikkaa." Perusteluna se, että turva-alueella käsitellään ja säilytetään turvallisuusluokiteltuja tietoja ja tunnisteiden kopiointiin tarkoitettuja välineitä on nykyään helppoa ja edullista hankkia. Lisäksi esitetään F-06.2 lisätietoja-osioon lisättävän oma kappale: "Kulunvalvontajärjestelmän etäyhteydet ja kenttälaitteiden asennus tulee toteuttaa riskienarvioinnin pohjalta riittävän tietoturvallisesti siten, että järjestelmään on vain valtuutetuista päätelaitteista/verkoista mahdollista päästä käsiksi ja että liikenneyhteys ja turvallisuusjärjestelmän rajapinnat on suojattu siten, että ulkopuolisilla ei ole pääsyä välitettyihin tietoihin. Kulunvalvontajärjestelmän laitetila tulee sijoittaa turvallisuusaluetta vastaavalle alueelle." F-06.3 Vaatimuksen ensimmäisen lauseen sivulause ", jolla on erityinen lupa tulla alueelle" esitetään korvattavaksi ", jolla on hyväksytty pääsytarve alueelle." Vaatimuksen lisätietoja-osioon esitetään lisättäväksi maininta, että turva-alueella itsenäisen työskentelyoikeuden edellytyksenä olisi perusmuotoinen turvallisuusselvitys. Alueella käsitellään ja säilytetään yhteiskuntamme turvallisuuden kannalta merkityksellistä tietoa, jolloin on perusteltua edellyttää perusmuotoista selvitystä, jotta selvitys kattaisi rekisterit, joista voi ilmetä tietoja liitännäisyyksistä järjestäytyneeseen rikollisuuteen tai ulkovaltojen tiedustelupalveluihin. Vaatimuksen toteutusesimerkki-kohdan lause "Avaimet voidaan luovuttaa vain kulkuoikeuden omaavalla henkilölle" esitetään korvattavaksi "Avaimet voidaan luovuttaa vain pääsyoikeuden omaavalla henkilölle", jotta termit olisivat yhtenevät muun sisällön kanssa. Lisäksi toteutusesimerkkien alla olevaan kappaleeseen esitetään lisättäväksi seuraavan kaltainen lause: " Avainkaapissa säilyttämisessä tulee estää avaimien luvaton saanti." F-06.7 Esitetään lisätietoja-osioon lisättävän oma kappale: "Tunkeutumisen ilmaisujärjestelmän etäyhteydet ja kenttälaitteiden asennus tulee toteuttaa riskienarvioinnin pohjalta riittävän tietoturvallisesti siten, että järjestelmään on vain valtuutetuista päätelaitteista/verkoista mahdollista päästä käsiksi ja että liikenneyhteys ja turvallisuusjärjestelmän rajapinnat on suojattu siten, että ulkopuolisilla ei ole pääsyä välitettyihin tietoihin." F-08.1 Kohdassa käsitellään turvallisuusluokitellun tiedon lähettämistä. Mikäli TLIV-tietoa lähetetään postipalvelun välityksellä, olisi riskien pienentämiseksi tarkoituksen mukaista edellyttää saantitodistusta tai muuta siihen verrattavaa tapaa varmistaa lähetyksen perille meno. Lisätietoja-osioon olisi perusteltua lisätä myös vaatimus TLIII-luokitellun tiedon lähetyksen ja vastaanoton kirjaamisesta taikka lisätä viittaus kohtaan F-08.3. F-08.2 Vaatimuksen lisätietoja-osion ensimmäinen lause on perusteltua muuttaa: "Tulostimet ja kopiokoneet tulkitaan tietojärjestelmiksi ja niiden tulee siten täyttää ko. turvallisuusluokan vaatimukset sekä teknisen, fyysisen että hallinnollisen tietoturvallisuuden osalta." Käytännössä esitetään poistettavaksi lauseesta konditionaali. F-08.4 Traficom ehdottaa, että vaatimuksen 1 sanamuotoilu johdettaisiin lain 1101/2019 15 §:stä, joka ottaa täsmällisemmin kantaa nimenomaan turvallisuusluokiteltujen tietojen suojaamiseen ja olisi samalla myös yhtenevämpi EU-turvasäännön kanssa. Vaatimusmuotoiluna voisi olla esimerkiksi "Paperimuodossa olevien turvallisuusluokiteltujen tietojen tuhoaminen on järjestetty luotettavasti. Tuhoamisessa käytetään menetelmiä, joilla estetään tietojen kokoaminen uudelleen kokonaan tai osittain.", mikä olisi yhtenevämpi myös I-21:ssä kuvatun sähköisen tuhoamisen muotoilun kanssa. Vaatimusjaottelun ja väliotsikon "Turvallisuusluokka II" nykyinen käyttö saattaa jättää epäselväksi sen, mitkä vaatimukset kohdistuvat turvallisuusluokkaan III ja mitkä vasta turvallisuusluokkaan II. Traficom ehdottaa muuttamaan vaatimuskohtien jaottelua siten, että jo jaottelu toisi selkeämmin esille turvallisuusluokkien III ja II eroavaisuudet. Toteutukseen Traficom ehdottaa yhtenevää vaatimusjaottelua I-21:ssä kuvatun kanssa. TEKNINEN TIETOTURVALLISUUS (I-osa-alue) Traficom näkee I-osa-alueen johdantoon tehdyt päivitykset perustelluiksi ja tarpeellisiksi. Erityisesti lainsäädäntöjohdannaisten riskien maininta nähdään perustelluksi ja yleisiä väärinkäsityksiä ehkäiseväksi. I-01: Traficom ehdottaa, että Lisätietoja-kentän mainintaa "Tällaiset erikseen hyväksytyt verkot/järjestelmät jakautuvat pääsääntöisesti neljään käyttötilanteeseen:" harkittaisiin muutettavaksi muotoon "Tällaiset erikseen hyväksytyt verkot/järjestelmät jakautuvat yleisimmin neljään käyttötilanteeseen:". Muutos toisi selkeämmin esille sen, että Lisätietoja-kentässä ei kateta kaikkia mahdollisia käyttötilanteita, ja tukisi myös lisätietolähteenä mainitun Kyberturvallisuuskeskuksen yhdyskäytäväratkaisuohjeen hyödyntämistä. Vastaavalla perusteella Traficom ehdottaa lisäksi, että maininta "Turvallisuusluokan III tiedon käsittely-ympäristöön voidaan siirtää tietoa alemman turvallisuusluokan ympäristöstä erillisen, vain yksisuuntaisen liikenteen sallivan yhdyskäytäväratkaisun.." muutettaisiin muotoon "Turvallisuusluokan III tiedon käsittely-ympäristöön voidaan siirtää tietoa alemman turvallisuusluokan ympäristöstä erillisen, yksisuuntaisen liikenteen sallivan yhdyskäytäväratkaisun..". Tietojärjestelmien erottamiskohdassa olisi perusteltua selventää, että turvallisuusluokitellun tiedon käsittelyyn hyväksytyssä tietojärjestelmässä voidaan käsitellä alemman turvallisuusluokan tietoa. I-08: Luettavuuden kannalta suositellaan korvattavaksi lause: "Ominaisuudet ovat toisaalta usein myös tarpeettoman turvattomilla asetuksilla." lauseella: "Ominaisuuksien oletusasetukset eivät ole usein riittävän turvallisia." Lisäksi lause: "Jos välttämättömien palvelujen tarpeettoman turvattomia asetuksia ei muuteta, ovat nämä myös pahantahtoisen toimijan käytettävissä." esitetään korvattavaksi lauseella: "Jos välttämättömien palveluiden riskialttiita oletusasetuksia ei muuteta, ovat nämä myös pahantahtoisen toimijan käytettävissä." I-10: Lokituksen kattavuusvaatimusten kuvauksessa on käytetty termiä "turvaan liittyvät tapahtumat", mikä on syytä selventää tai käyttää kuvaavampaa termiä esimerkiksi "turvallisuuteen liittyvät tapahtumat". I-11: Traficom ehdottaa Lisätietoja-kentän maininnan "Lokitietojen manuaalinen tarkastelu on yleensä riittävä vain ympäristöissä, joissa lokimassat ovat hyvin pieniä ja lokien tarkasteluun on osoittaa riittävät henkilöresurssit." tarkennettavaksi muotoon "Joissain tilanteissa lokitietojen manuaalinen käsittely on myös mahdollista ja jopa välttämätöntä, mikäli automaattisin keinoin ei esimerkiksi ole havaittu poikkeamaa ja poikkeamatilanne vaatii tarkempaa selvitystä. Tulee myös muistaa, että lokeihin saa kerätä vain tietoturvaan liittyvien toimenpiteiden kannalta välttämättömiä tietoja, eikä toimenpiteitä toteutettaessa saa rajoittaa sananvapautta taikka luottamuksellisen viestin tai yksityisyyden suojaa.", jolloin maininta huomioisi täsmällisemmin myös lain sähköisen viestinnän palveluista (971/2014). I-21: Traficom suosittelee harkittavaksi sen, voisiko vaatimuksen 2 ja mahdollisesti myös vaatimuksen 3 lähdeviitteiksi jättää vain EU-turvasäännön, sillä kyseiset vaatimukset eivät vaikuta olevan yksiselitteisen suoraan johdettavissa vain kansallisesta säädännöstä. Kyseessä olevien kohtien vaatimusmuotoilussa tätä kansallisen ja kansainvälisen tiedon suojaamiseroavaisuutta voisi selkeyttää myös käyttämällä ilmaisua "kansainvälisen turvallisuusluokitellun tiedon..". MUUT TARKEMMAT HUOMIOT LAUSUNTOLUONNOKSESTA Johdannot ja liitteet: Traficom ehdottaa pohdittavaksi, tulisiko luvun "Soveltamisala" ilmaisua "Suomen lainsäädännön piirissä" tarkentaa muotoon "toimivaltaisten viranomaisten toimivallan piirissä", tai mahdollisesti lisätä tarkennus esimerkiksi alaviitteeksi. Traficom näkee liitteen III kuvaukset Katakrin turvamallista sekä riskienhallinnan roolista eri käyttötapauksissa erittäin tervetulleeksi. Aihepiiri on aikaisemmissa Katakri-versioissa herättänyt paljon kysymyksiä ja myös väärinkäsityksiä, joten liitteen kuvauksille on epäilemättä kova tarve. Liitteen III kuvauksia voisi harkita niiden merkittävyydestä johtuen nostettavaksi yleisjohdantoon, mutta toisaalta säilyttäminen liitteessä III tukisi yleisjohdannon nykyistä tiivistä, mutta informatiivista lähestymistapaa. Helsingissä 13.11.2020 Jari Ylitalo, turvallisuusjohtaja Lars Dolk, turvallisuuspäällikkö
  
  Puolustus- ja Ilmailuteollisuus PIA ry, pääsihteeri
  
  Päivitetty:
  
  13.11.2020
  
  PUOLUSTUS- JA ILMAILUTEOLLISUUS PIA RY:N LAUSUNTO KATAKRI 2020 PÄIVITYKSEEN Puolustus- ja Ilmailuteollisuus PIA ry:n (PIA) lausunto tarkastelee KATAKRIA yritysten vastuiden ja toimintaedellytysten, yrityksille kohdistuvien kustannusten sekä yhdenvertaisten mahdollisuuksien (level playing field) valossa. Yleistä Rakenne on aikaisempaa selkeämpi. Katakri antaa aikaisempaa enemmän ohjeita käytännön toteuttamiseen. Vaatimusten määrittelyä on tarkennettu, selkeytetty ja niiden muoto on ohjaava. Tämä kaikki on erittäin positiivista. Kaipaamme kuitenkin ”kumuloitavaa taulukkoa”, jossa esitettäisiin vaatimukset perustasosta vaativampaan tasoon. Tämä helpottaisi ohjeen käyttöä ja antaisi yrityksille työkalun analysoimaan oman toimintansa tasoa eri luokkien vaatimuksiin nähden. Lisätietojen ja esimerkkien kirjaaminen ohjaavat yrityksiä vaatimusten toteuttamisessa. Tämä on kuitenkin kaksiteräinen asia. Koska esimerkein ei luonnollisesti voida kuvata kaikkia ympäristöjä tai tapauksia, tulisi tekstin ja viittausten olla mahdollisimman selkeitä. Esimerkiksi vähimmäissuojausten täydentäminen uhka-arvion perusteella on hyvä ja tärkeä periaate. Selkeämpi määritelmä esimerkkiviittaukseksi voisi olla: ”…tietoja, joiden toimivaltainen viranomainen on arvioinut olevan poikkeuksellisen ulkopuolisen kiinnostuksen kohteena…”. On riskinä, että yrityksille jää muuten epävarmaksi, kuka tekee uhka-arvion ja hyväksyy riskiarvion. Luonnoksesta puuttuu sisällysluettelo. Logistiikan määrittelyt puuttuvat (edelleen). Joitakin kirjoitusmuodon tai määrittelyjen epämääräyksiä esiintyy vertaillessa eri osa-alueita toisiinsa. Valitettavasti julkisissa hankinnoissa viitataan edelleenkin Katakriin tietoturvallisuuden vaatimuksena. Näkemyksemme mukaan tämä tulkinta Katakrin käytöstä ei ole oikea ja se vääristää kilpailua asettamalla suomalaisen teollisuuden kansainvälisiä kilpailijoitaan huomattavasti epäsuotuisampaan asemaan kotimaisissa kilpailutuksissa. Sama epäsuhta koskee suomalaisia toimijoita, esim. valmistava teollisuus vs. kauppahuoneet. Katakrin vaatimusten täyttäminen on yrityksille merkittävä kustannuserä. Esimerkiksi jo pienen PK-yrityksen tietohallinnon auditointi maksaa useita kymmeniä tuhansia euroja. Katakrin käyttötapoja olisi siten hyvä selkeyttää. Esitämme lisättäväksi Katakria 2015 mukailevan kirjauksen käytöstä: ”Katakria ei ole tarkoitettu käytettäväksi sellaisenaan julkisen hankinnan turvallisuusvaatimuksena. Julkisessa hankinnassa tarkat turvallisuusvaatimukset tulee määrittää erikseen ottaen huomioon hankintaa koskevat riskit ja erityistarpeet. Yksittäiseen hankkeeseen voi sisältyä muitakin kuin Katakriin koottuja salassa pidettävän tiedon käsittelyä ja suojaamista koskevia vaatimuksia. Näiden vaatimusten toteutumista ei arvioida Katakrin avulla, vaan kohdeorganisaatio sitoutuu noudattamaan niitä sopimusperusteisesti.” Teollisuuden kannalta on tärkeää, että turvallisuustarkastustoiminnassa edelleenkin tapauskohtaisesti hyväksi koetut ratkaisut ovat jatkossa hyväksyttäviä. Riskinä on, että muuten Katakrista muodostu näennäisturvallisuutta ylläpitävä ohje, jonka kohdat täytetään pilkulleen huomioimatta todellista uhkaa ja toteutettujen ratkaisujen tuomaa kokonaissuojaa. Katakri on kriteeristö ja siten luonnollisesti erittäinkin tekninen kokonaisuus. Peräänkuulutamme valtionhallinnolta myös strategisempaa lähestymistapaa suomalaisen elinkeinoelämän globaalin kilpailukyvyn turvaamiseksi, puolustus- ja turvallisuustiedon suojaamiseksi sekä kansalaisten elinolosuhteiden suojaamiseksi. Suomessa tulee pohtia tarkasti, miten kriittisen tiedon suojaaminen tulee teknologiamielessä huolehtia. Yleiseksi ohjeeksi koskien kaikkia osa-alueita esitämme seuraavia: ”Auditoijan tulee arvioida kohteen riskien arvioinnin riittävyys ja tarvittaessa edellyttää riskien uudelleenarviointia.” ”Vähimmäisvaatimusten ja monitasoisen suojauksen toteuttamisen jälkeen auditoija arvioi fyysiset turvatoimet ja sen voidaanko jäännösriskit hyväksyä.” Kommentit osa-alueittain T- Turvallisuusjohtaminen Osiossa on sekaisin käsitteitä ”turvallisuus” ja ”tietoturvallisuus”. Selkeyden takia esitämme, että käytettäisiin vain ”turvallisuus” -termiä. On erittäin positiivista, että korostetaan organisaation johdon vastuuta. T-06 Vaatimus: ”Turvallisuusluokitellut tiedot on suojattu teknisiltä ja fyysisiltä vahingoilta.” Yleistä: ”Organisaatiolla tulee olla varmuus siitä, että käsiteltävä tieto tai järjestelmä on suojattu fyysisiltä vahingoilta kuten tulipalot, vesivahingot tai ilkivalta sekä sähköisiä menetelmiä käyttäen aiheutetuilta fyysisiltä vahingoilta kuten laitteiden rikkoutuminen.” Katakri 2020 versiossa toiminnan jatkuvuuden hallinnan vaatimusta ei ole esitetty yhtä selkeästi kuin Katakri 2015 versiossa (F 08). Esimerkiksi LVI-automaationhallinnan etäkäytön ja olosuhdesensoreiden vaatimukset puuttuvat kokonaan, vaikka kiinteistöautomaatiojärjestelmiin liittyvät haavoittuvuudet ovat yleisesti hyvin tiedossa. T-10 Hankekohtaisten turvallisuusselvitysten edellyttäminen aiheuttaa hallinnollista taakkaa ja voi viivästyttää hankkeiden aloittamista. Jos henkilölle on tehty samantasoinen turvallisuusselvitys kuin mitä hanke on, tulisi turvallisuusselvityksen olla voimassa hankkeissa ilman uutta hankekohtaista selvitystä. Esitämme tämän kohdan muuttamista vastaavasti. Fyysinen turvallisuus Pidämme positiivisena sitä, että arviointiprosessi on kuvattu. Myös tiedon käsittelyä ja säilytystä esittävä taulukko on hyvä ja selkeä. Esitämme selvennettäväksi, miten turvatoimien muutosten kanssa tulee toimia. Tuleeko ne hyväksyttää etukäteen toimivaltaisella viranomaisella/auditoijalla? Mitkä muutokset ovat mahdollisia - Omalla hyväksynnällä ilman ilmoitusta - Omalla hyväksynnällä ilmoituksen kera - Etukäteishyväksynnällä ilman tarkastusta (tai jälkitarkastuksella seuraavan tarkastuksen yhteydessä) - Etukäteishyväksynnällä käyttöönottotarkastuksella Lisäksi esitämme selventämistä siitä, miten korvaavien fyysisten turvatoimien perustelut kirjataan ja onko kirjaamistavalle vaatimusta. Osa-alueessa käytettävä termi ”viranomainen” on epäselvä, vaikka sitä pyritään osa-alueen tekstiosassa selventämään. Samalla termillä viitataan useaan eri toimijaan. Ehdotamme käytettäväksi selkeitä, varsinaisen toimijan kuvausta. Esim. luokitellun tiedon omistaja, Auditoija, Suojelupoliisi, Pääesikunta. Esimerkiksi kohdassa F-02 jää epäselväksi, mihin viranomaiseen viitataan: käsiteltävän tiedon omistajaan vai auditoijaan. Tiedonhallintalain mukaan tietojen omistaja vastaa tiedonhallintasuunnitelmaan kuuluvasta riskiarvioinnista ja tietoturvatoimenpiteiden riittävyydestä. F-05.2 Vaatimus: ”Ainoastaan viranomaisen asianmukaisesti valtuuttamilla henkilöillä on itsenäinen pääsy alueelle. Viranomaisen on määriteltävä alueen pääsyoikeuksien ja avainhallinnan menettelyt ja roolit.” Kohdassa tulisi selkeyttää hallinnollisella alueen huoltotoimenpiteiden pääsyoikeuksien myöntämistä. Katakri2020 F-05.2 ja F-05.3 mukaan hallinnolliselle alueelle pääsee itsenäisesti vain sellainen henkilö, joka on viranomaisen valtuuttama. Jää epäselväksi, mihin viranomainen viittaa tässä kohdassa. Ehdotamme muutettavaksi muotoon, jossa toimittajan oma vastuuhenkilö voi myöntää pääsyoikeudet F-05.2 periaatteiden mukaisesti. Lisäksi tulee tarkastaa kohdan kirjaukset verrattuna kohtaan F-06.2. F-06.7 ”Alueen tunkeutumisen ilmaisujärjestelmän hallinta tulee olla organisaation omassa hallinnassa.” F-06.2 (ja F-05.2) toteavat, että ”kulunvalvontajärjestelmän hallinta voi olla ulkoistettu, jos se on hyvin hallinnoitu”. Ulkoistetun hallintapalvelun osalta väärinkäytöksen riski kohdistuisi kuitenkin todennäköisemmin tilan kulunvalvontaan kuin tilaan tunkeutumiseen. Lisäksi, mikäli kulunvalvontajärjestelmä ja tunkeutumisen ilmaisujärjestelmän toimintoja on integroitu (esim. kulunvalvontajärjestelmällä ohjataan tunkeutumisen ilmaisujärjestelmän toimintaa) tai kulunvalvontaan sekä tunkeutumisen ilmaisuun käytetään yhtä järjestelmää, ko. järjestelmän hallinnan ulkoistaminen estyy tunkeutumisen ilmaisujärjestelmään esitettyjen vaatimusten vuoksi. Ehdotamme, että tunkeutumisen ilmaisujärjestelmän hallinta voitaisiin ulkoistaa samoin edellytyksin kuin kulunvalvontajärjestelmän hallinta. F-06.10 Tarkka määrittely TEMPEST vaatimuksista puuttu. Kaipaamme esimerkkejä hyväksytyistä rakenteista samaan tapaan kuin muissa fyysisen turvallisuuden rakenteissa. Kaipaamme selvennystä sille, mille tasolle päätelaitteiden fyysisen turvallisuuden arviointi viedään F-osiossa. Tekninen tietoturvallisuus Toivomme tärkeimmistä lainsäädäntöjohdannaisista riskeistä viranomaistahojen tekemää (edes suppeaa) yhteenvetoa. Tämä voisi toimia oppaana yritysten omille lakiosastoille riskien tunnistamistyölle. I-01 ”Huom: Turvallisuusluokan ylitys hallintaliikenteen (vrt. I-04) osalta edellyttää toimivaltaisen viranomaisen ko. turvallisuusluokalle hyväksymää yhdyskäytäväratkaisua. Käytännössä hallintaliikenne rajataankin lähes poikkeuksetta turvallisuusluokittain.” Toteutusesimerkkejä: ”Turvallisuusluokan IV tietojenkäsittely-ympäristön yhdistäminen eri turvallisuusluokan ympäristöihin voidaan toteuttaa palomuuriratkaisuilla ja rajaamalla turvallisuuskriittisten alemman turvallisuusluokan ympäristöä käyttävien palvelujen (web-selailu, Internetin kautta reitittyvä sähköposti, ja vastaavat) liikenne kulkemaan erillisten sisältöä suodattavien välityspalvelinten kautta.” Olisi hyvä täsmentää, sopiiko em. toteutusesimerkki hallintaliikenteeseen. I-06 Tarkastusoikeuden ottaminen huomioon teknisessä toteutuksessa: ”b) Luotettavaan loogiseen erotteluun (esim. hyväksytysti salatut virtuaalikoneet levyjärjestelmän asiakaskohtaisesti dedikoiduilla levyillä, ja tiedon/tietoliikenteen hyväksytty salaus yhteiskäyttöisillä verkkolaitteilla) perustuvat menetelmät soveltuvat turvallisuusluokille IV ja III.” Kohdassa tulisi tarkentaa, tarkoitetaanko asiakaskohtaisesti dedikoidulla levyllä turvatasolle hyväksytystä jaetusta levyjärjestelmästä dedikoitua virtuaalilevyä. I-20 Vaatimus: ”Turvallisuusluokiteltua tietoa sisältävät varmuuskopiot suojataan niiden elinkaaren ajan vähintään vastaavan tasoisilla menetelmillä, kuin millä alkuperäinen tieto on suojattu.” Toteutusesimerkki: ”6) Varmuuskopioista on rekisterit ja varmuuskopioiden käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai tietoon (esimerkiksi dokumentin osaksi). (Vrt. I-18)” Kohdassa tulisi tarkentaa, viittaako ”tieto” samaan asiaan vaatimuksessa ja esimerkissä?
  
  CSC-Tieteen tietotekniikan keskus Oy, Urpo Kaila, tietoturvapäällikkö, Kaila Urpo
  
  Päivitetty:
  
  13.11.2020
  
  CSC - Tieteen tietotekniikan keskus Oy (CSC) kiittää mahdollisuudesta osallistua Katakri 2020 - Tietoturvallisuuden auditointityökalun neljännen version kommentointiin. CSC on suomalainen ICT-osaamiskeskus, joka ylläpitää opetus- ja kulttuuriministeriön toimeksiannosta valtakunnallista keskitettyä tietotekniikkainfrastruktuuria ja tarjoaa sen avulla kansallisia tietotekniikkapalveluita tutkimuksen, koulutuksen, kulttuurin ja julkishallinnon tarpeisiin. Katakri on Suomen keskeisin ja kattavin tietoturvanormi johtuen muun muassa VAHTI-ohjeiden hajanaisuudesta ja yleisesti tunnistettujen tietoturvanormien puutteesta yksityisellä sektorilla. Käytännössä Katakria hyödynnetään tämän vuoksi myös vaatimusmäärittelynä vaikka sen tulisi olla ensisijaisesti auditointityökalu. CSC:n näkemyksen mukaan on hyvä, että Katakria nyt ylläpitää kansallinen turvallisuusviranomainen, ja on ollut välttämätöntä päivittää Katakri vastaamaan nykyisen lainsäädäännön vaatimuksia. CSC arvioi Katakrin haasteeksi, että se on kriteeristönä laaja ja raskas, minkä vuoksi auditoinnit voivat kestää yli vuoden ja kauemminkin. Esimerkiksi pienyrityksille on erittäin haasteellista toteuttaa Katakrin kriteerejä edes TL IV tasolla. Katakrin vahvuutena on korkea maturiteetti selkeys varsinkin fyysisen turvallisuuden puolella. Erityisenä haasteena CSC näkee nykyisessä versiossa arviointikriteerit sellaisen tiedon suojaamiselle, jota ei ole turvallisuusluokitelu, mutta joka koostuu henkilötiedoista, erityisistä henkilötiedoista, orgaanisaation sisäisen IT-infrastruktuurin kuvauksista, yrityssalaisuuksista sekä tiedosta valmisteilla olevista hankkeista. Valtaosa suojattavasta tiedosta esimerkiksi korkeakouluissa on edellämainittujen esimerkkien mukaisia,mutta suojaamiselle ei ole selkeää arviontikriteeriä. Käytännössä valtaosaa ICT-palveluita hyödynnetään julkisen verkon kautta, varsinkin etätyöskentelyn lisääntyessä ja muuttuessa normiksi. Toisena haasteena Katakrin nykyisessä versiossa on alihankkijoiden arvionti. Ohjeen teksteistä saa kuvan, että virastojen ICT-infrastruktuuri on pääasiassa omassa ylläpidossa. Todellisuudessa suurin osa ICT- ja käyttöpalveluista on ulkoistettu muun muassa Valtorille ja ICT-yrityksille. CSC ehdottaa seuraavia yksityiskohtaisia muutoksia: Tilojen ja järjestelmien suhteen ulkoistustuskumppani ei tehokkuussyistä luo erillisiä tiloja ja järjestelmiä jokaista asiakasta varten, vaan hyödyntää turvallista jaettua alustaa palvelutuotannossaan. Tästä syystä CSC esittää, että kohta F-06.3 täydennetään seuraavasti: ”Vain viranomaisen asianmukaisesti valtuuttamalle henkilölle” muotoon ”Vain viranomaisen asianmukaisesti valtuuttamalle henkilölle tai viranomaisen hyväksymän sertifioidun tietoturvallisuuden hallintajärjestelmän valtuutuskäytäntöjen mukaisesti”. Kohtaan I-01 ehdotamme muutosta, jonka mukaan Bell-LaPadulan mallin mukaista data-diodia edellytetään vain turvallisuusluokassa II. Kohtaan I-04 3) ehdotamme lisäystä ”tai viranomaisen hyväksymän sertifioidun tietoturvallisuuden hallintajärjestelmän riskinhallintaprosessin mukaisesti” Kohdassa I-09 Toteutusesimerkit 6) toteamus että haittaohjelmasuojaus tulee asentaa järjestelmiin jotka ovat alttiita haittaohjelmille on erittäin järkevä. Kohdan I-19 esimerkit ovat osuvia ja hyödyllisiä Kohta I-21 on selkeä ja helposti todennettava. LIITE III kokoaa hyvin ja rakentavasti, miten organisaatio voi soveltaa Katakria riskienhallinnassaan ja turvallisuusjohtamisessa. Jatkokehitystä ajattelen olisi hyödyllistä valmistella vastaava tietoturvallisuuden arviointikriteeri henkilötietoja ja muita ei-julkisia tietoja varten.
  
  Itä-Uudenmaan pelastuslaitos
  
  Päivitetty:
  
  13.11.2020
  
  Itä-Uudenmaan pelastuslaitos kiittää mahdollisuudesta lausua KATAKRI 2020 -auditointikriteeristöön ja toteaa lausuntonaan seuraavaa: Yleisesti toteamme KATAKRI 2020 -auditointikriteeristön päivityksen olevan tervetullut. Auditointikriteeristö on yleisiltä osiltaan kannatettava ja vaatimusten mukaisuudet ovat nykyaikaiset. Yksittäisiin vaatimuskohtiin lausumme seuraavaa: T-02: Tietoturvallisuuden tehtävien ja vastuiden määrittelyssä tulee myös määritellä vastuuhenkilölle riittävä työajan resursointi, jotta tietoturvatyön kehittäminen ei kärsi. Tällä myös estetään se, että tietoturvatyötä ei tehdä varsinaisen oman työn ohella, vaan että tehtävään nimetyllä henkilöllä olisi ajankäytöllisesti riittävät mahdollisuudet suorittaa tietoturvatyö menestyksekkäästi. T-11: Salassapito- tai vaitiolositoumus tulisi ulottaa jokaiseen salassa pidettävää tai turvallisuusluokiteltua tietoaineistoa käsiteltävän henkilöön työsuhteen laadusta riippumatta, joka käsittelee työtehtävässään edellä mainittuja tietoaineistoja, jotta organisaatiolla on olemassa riittävä dokumentaatio palveluksessaan työskentelevien henkilöiden sitoutumisesta vaitiolovelvollisuuteen. Samoin vaitiolovelvollisuus- ja salassapitositoumus tulee ulottaa koskemaan organisaation palveluntuottajien henkilöstöä kuten siivoajia sekä huoltohenkilöstöä, mikäli näille henkilöille on myönnetty kulkuoikeus hallinnolliselle tai turva-alueelle. Vaatimuskohta T-12 kuitenkin vaatii EU:n ja NATO:n turvallisuusluokiteltujen tietojen kaikille käsittelijöille salassapitositoumuksen. Tällä estetään se, että tietoaineistojen käsittelyohjeet olisivat aineiston laadusta riippumatta mahdollisimman yhteneväiset. T-13: Henkilöstöluettelon pitäminen tulee ulottaa myös TL I -tason asiakirjoihin. Osa-alue F: Fyysinen turvallisuus. Johdanto-osuudessa tulisi huomioida myös julkiset alueet osana fyysisten tilojen kehäsuojausta. F-03: Alakohta h on kirjattu listaukseen kahdesti, kameravalvonta käsitellään alakohdassa e kertaalleen. F-04: Taulukko tulisi suunnitella lopulliseen versioon luettavuuden parantamiseksi siten, että taulukon otsikot toistuvat jokaisella sivulla. Luettavuuden helpottamiseksi termi ”päätelaitteessa” tulisi muuttaa muotoon ”sähköinen aineisto”. TL III -paperinen aineisto, säilytys turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa ei ole hyväksyttävissä, koska eri toimijoilla voi muodostua erilainen näkemys soveltuvasta säilytysratkaisusta. Kansainvälisessä aineistossa säilytysratkaisun tyyppi on sanottu suoraan. Tämä johtaa tilanteeseen, jossa kriteeristön tulkinnasta johtuen eri tietoaineistolle voi olla erilainen säilytysratkaisu eri viranomaisissa, joka voi aiheuttaa luottamusongelmia tietoaineiston siirtämisessä toimijoiden välillä. Säilytysratkaisun tulisi olla selkeästi kuvattu sekä yhtenevä kansainvälisen tietoaineiston osalta, mikäli suinkin mahdollista. Taulukossa sekä vaatimuksessa on huomioitava tarkemmin etätyöskentely turvallisuusviranomaisten osalta kenttäolosuhteissa. Esimerkkinä pelastustoimen etäkäyttö tilannepaikalla, jolloin aineistoa joudutaan säilyttämään sekä käsittelemään esimerkiksi johtoautossa paperimuodossa. Taulukon mukaan TL III sähköistä aineistoa voidaan säilyttää vaatimukset täyttävässä laitteessa sekä lisäehtojen täyttyessä. Vaatimuksessa viitataan kohtaan F-05.5 valvotun tilan osalta, jonka mukaan alue ja ovet voidaan varustaa tunkeutumisen ilmaisujärjestelmällä. Koska TUVE-työasema täyttää TL III aineiston käsittely- ja säilytysvaatimukset, johtaa tämä pelastustoimen osalta kustannusten rajuun nousuun haja-asutusalueiden paloasemilla TUVE-työasemien yleistyessä, mikäli vaatimus halutaan täyttää miehittämättömillä asemilla täydellisesti. Vaihtoehtoisesti tällaisella vilkkaalla haja-asutusalueen paloasemalla jouduttaisiin investoimaan turvapusseihin useita satoja kappaleita. Turvapussin vaikutusta tietoaineiston varastamiseen ei kuitenkaan voida pitää riittävänä suojatoimenpiteenä, koska pussi ainoastaan kertoo käsittely-yrityksestä. Mikäli tilaan tunkeudutaan ja laite varastetaan, ei pussi itsessään estä varkautta. Vaatimuksessa tuleekin kiinnittää enemmän huomiota aluesuojauksen kokonaisuuteen sekä tilan kulunvalvontaan ja pääsyoikeuksien hallintaan. Lisäksi toteamme, että vaatimuksessa F-05.5 viitataan tilanteeseen, jossa alueella säilytetään turvallisuusluokiteltua tietoaineistoa lukittavassa toimistokaapissa. Tässä siis viitataan toimistokaappiin hyväksyttävänä säilytysratkaisuna, jota kohdan F-04 taulukossa ei erikseen täsmennetä. F-05.8, kohta 1: TL IV tietoa tulee säilyttää lukitussa toimistokalusteessa, mikäli mahdollista. Kriteerin tulee täsmentää, onko kyse paperisesta aineistosta vai sähköisestä aineistosta, jota säilytetään turvallisuusluokan vaatimukset täyttävässä työasemassa. Vaatimuksen tulee mahdollistaa TL IV-aineiston tallentamisen vaatimukset täyttävän työaseman säilyttäminen tilassa, mikäli tilan turvallisuusratkaisut tukevat laitteiston säilyttämistä. F-05.8, kohta 2: TL III -aineistoa sisältävä päätelaite voidaan säilyttää hallinnollisessa tilassa, mikäli säilytys tapahtuu lukitussa toimistokalusteessa turvapussissa. Viittaamme kohdan F-04 taulukossa nostettuun ongelmaan työskentelyn mahdollistamisesta sekä säilytyksen ongelmallisuudesta käytettäessä turvapusseja sekä lukitun toimistokalusteen määrittelyn riittämättömyyttä. Sama vaatimus ilmenee myöhemmin kohdassa I-17, mutta huomattavasti lievemmin sanamuodoin, joka on pelastustoimessa paremmin toteutettavissa. Tämä kohta ei ota huomioon tiedon salausta osana muita tiedon turvallisuusratkaisuita. Kohdassa I-17 mahdollistetaan päätelaitteen säilytys turva- ja hallinnollisen alueen ulkopuolella riskiarvion perusteella ja sillä edellytyksellä, että tietoaineisto on salattu. Lisäksi nostamme esille, että kohdassa F-05.8 ilmaistaan selkeänä vaatimuksena se, että tilan on oltava murtohälyttimen valvonnassa kohdan F-05.5 vaatimuksen mukaisesti. Kuitenkin kohta F-05.5 ei velvoita organisaatiota suoraan varustamaan tilaa murtohälyttimellä kuin ainoastaan riskiarvioon perustuen. Tämä ristiriita on ratkaistava lievempien vaatimuksien, F-05.5:n ja I-17:n mukaiseksi. F-05.8, kohta 3: Kohdasta ei ilmene riittävän tarkasti, ovatko kaikki kohdat velvoittavia vai riittääkö vaatimuksen täyttämiseksi vain yksi ratkaisu listatuista viidestä. Kohtaa on tarkennettava selkeämpään muotoon. F-06.2: Vaatimuksen termi ”kulkulupien” tulisi selkeyden vuoksi muuttaa muotoon ”henkilökohtaisilla kulkuoikeuksilla”. Kaksoistunnistuksen tulisi olla pakollinen vaatimus turva-alueella alueella säilytettävien laitteiden ja tietoaineistojen luokituksesta johtuen. Kaksoistunnistus voidaan toteuttaa kulkuoikeustunniste + PIN yhdistelmällä tai asettamalla tilan sisä- ja ulkopuolelle kameravalvonta siten että henkilö on jälkikäteen tunnistettavissa tallenteelta, mikäli käytetään pelkkää kulkuoikeustunnistetta. I-01: Vaatimuksessa todetaan, että TL III -tietojenkäsittely-ympäristössä työskennellessä tulisi mahdollistaa internetin tai muiden alempien turvallisuusluokkien tietojenkäsittely-ympäristöjen toteuttaminen erillisellä työasemalla. Vaatimus tulee voida toteuttaa vaihtoehtoisesti esimerkiksi virtualisoiduilla ratkaisuilla, joissa työskentely tapahtuu eristetyssä sovelluksessa, jolla ei ole suoraa liityntäpintaa tai yhteyttä TL III -tietojenkäsittely-ympäristöön tai siellä säilytettäviin tai käsiteltäviin tietoaineistoihin. I-07, kohta 6: Salasanan vaihdon sopiva määräaika tulee suhteuttaa organisaation toimintaympäristön ja laitteessa käsiteltävän ja säilytettävän aineiston luokituksen mukaan, muut turvallisuusratkaisut huomioiden. Järjestelmän tulee tukea pitkän salasanalauseen käyttöä. I-17: TL III aineisto esitetään säilytettäväksi kassakaapissa taukojen ajaksi. Vaatimus koskee ilmeisimminkin vain paperista aineistoa. Viittaamme jälleen kohdan F-04 kohdassa olevaan yleiseen vaatimukseen ”lukitusta toimistokalusteesta”. Vaatimusta tulee tarkentaa koskemaan joko lukittavaa toimistokalustetta (jonka vähimmäisvaatimukset on myös tarkennettava), kassakaappia tai muuta vastaavan turvallisuuden säilytysratkaisua. Terveisin 13.11.2020 Itä-Uudenmaan pelastuslaitos Peter Johansson, pelastusjohtaja
  
  F-Secure Cyber Security Services Oy, F-Secure Consulting, Korhonen Pasi
  
  Päivitetty:
  
  13.11.2020
  
  Lausuntopyyntö: Katakri 2020- Tietoturvallisuuden auditointityökalu viranomaisille (04.40/UM/7798) F-Secure näkee kyberturvallisuuden nykyisessä verkostoituneessa toimintaympäristössä vaativan tiedonkäsittelijöiltä yhdenmukaisen kontrollirakenteen käyttämistä läpi tiedon elinkaaren. Katakri luo pohjan toimijoiden väliseen luottamukseen ja selkeyttää tiedonkäsittelyn kontrollien yhteneväisyyttä. Katakri 2020 versioon on luotu eheän rakenteen kautta kokonaisuus, jossa on kuvattu selkeät vaatimukset. Haluamme tuoda esiin seuraavat asiat. Vaatimuksen esitysmuoto Vaatimuksen esityksessä käytetään taulukkolomaketta, joka selkeästi erottaa varsinaisen vaatimuksen ja soveltamisohjeen (Lisätietoja). Lisätietoja- kohdassa olevassa tekstissä tulee selkeämmin erottaa, mikä on vaatimuksen soveltamiseen tai tarkistamiseen liittyvää kuvausta ja mikä suositus. Tekstissä tulee välttää konditionaali- muotoja (-isi) ja suositus tulee eriyttää omaksi kappaleeksi Lisätietoja osioon, vastaavasti kuin Yleistä- otsakkeen osalta on tehty. Toteutusesimerkki- osat on mahdollista kuvata suosituksina ja näin yhdenmukaistaa vaatimuksien esitysmuotoa. F-03 – Fyysisen turvatoimien valinta Vaatimuksen 2) kohdat b), e) ja i) sisältävät soveltamisohjeita, joiden luonteva paikka on Lisätietoja-osassa. 2h) kohta on sisällöltään kiinteästi kohtaan 2g) kuuluva. F-04 - Tiedon käsittely ja säilytys turvallisuus- alueilla ja niiden ulkopuolella Tiedon luokittelu perustuu tiedon paljastumisen aiheuttamaan vahinkoon, jolloin tiedon käsittelyn yhteydessä aineistoa on vain rajallisesti paljastumisuhan piirissä. Käsittelyn ja säilytyksen alemmissa tiloissa tulee aina edellyttää käyttäjältä riskienhallintatoimia ja ne tulee huomioida T-11 Salassapito- ja vaitiolovelvollisuus – vaatimuksen puitteissa. Koska käsittelylle on erilliset suojausvaatimukset, niin TL II ja TL III osalta käsittely tulisi olla vihreän sijasta esim. keltainen (kuten on tehty kansainvälisessä taulukossa), jolloin käsittely edellyttää käyttäjältä ja organisaatiolta kompensoivia kontrolleja ja riskienarviointia. TL II SALAINEN materiaalin käsittelyn suojaaminen Turvallisuusalueen ulkopuolella edellyttää henkilöltä hyvää osaamista mahdollisten uhkatekijöiden tunnistamiseksi ja riskin hallitsemiseksi. Nykyisessä esitysmuodossaan eri toimijoiden tulkinnat voivat johtaa tiedon näkökulmasta poikkeaviin suojaustoimiin, jolloin tiedolle tarkoitettua suojaustasoa ei saavuteta aidosti. F-05.4 Äänieristys (Hallinnollinen alue) Äänieristyksen tärkeys on noussut etäkokouksien käyttämien äänentoistojärjestelmien myötä. Kaiutinäänien osalta suojaukselle tulee korkeammat vaatimukset kuin henkilöiden välisen tai kuulokkeilla tapahtuvan keskustelun osalta. Ilmaääneneristysvaatimus turvaluokiteltua tietoa käsittelevälle tilalle määritetään standardin SFS-EN-ISO 717-1 mukaisesti. Ilmaääneneristävyys todetaan standardin SFS-EN-ISO 16283-1 mukaisesti tehdyllä mittauksella. Riittävä ilmanääneneristys hallinnollisen alueen rajalla on standardoitua äänitasoeroa DnT,w käyttäen 40 desibeliä. Äänieristysvaatimus voidaan tarvittaessa saavuttaa esimerkiksi tilan uudelleen sijoittelulla, rakenteiden ja läpivientien eristävyyden parantamisella tai arvioitavan tilan ulkopuolisten tilojen taustamelulla. Viite: https://www.edilex.fi/data/rakentamismaaraykset/Ymparistoministerion_ohje_rakennuksen_aaniymparistosta.pdf F-06.6 Äänieristys (Turva-alue) Ilmaääneneristysvaatimus turvaluokiteltua tietoa käsittelevälle tilalle määritetään standardin SFS-EN-ISO 717-1 mukaisesti. Ilmaääneneristävyys todetaan standardin SFS-EN-ISO 16283-1 mukaisesti tehdyllä mittauksella. Riittävä ilmanääneneristys hallinnollisen alueen rajalla on standardoitua äänitasoeroa DnT,w käyttäen 52 desibeliä. Äänieristysvaatimus voidaan tarvittaessa saavuttaa esimerkiksi tilan uudelleen sijoittelulla, rakenteiden ja läpivientien eristävyyden parantamisella tai arvioitavan tilan ulkopuolisten tilojen taustamelulla. Viite: https://www.edilex.fi/data/rakentamismaaraykset/Ymparistoministerion_ohje_rakennuksen_aaniymparistosta.pdf I-01 Tietojenkäsittely- ympäristöjen suojattu yhteenliittäminen - Verkon rakenteellinen turvallisuus Turvallisuusluokkien III-II osalta tulisi huomioida myös verkkoratkaisut, joissa tiedon siirtoa ei tapahdu tasojen välillä (jolloin yhdyskäytäväratkaisu vaaditaan), vaan matalamman turvallisuusluokan verkkoa käytetään siirtoalustana. Tällöin verkon yli siirrettävä tieto salataan tiedon turvallisuusluokalle hyväksytyllä salausratkaisulla ja lisäksi matalamman turvallisuusluokan verkossa näkyvä liikennöintitieto ei saa paljastaa tiedonkäsittelyn kontekstia. Tähän viittaa Lisätietoja- kohdassa oleva Toteutusesimerkki A, mutta siihen ei ole osoitettu vaatimusta. I-03 Tietojenkäsittely-ympäristön turvallisuus koko elinkaaren ajan - Suodatus- ja valvontajärjestelmien hallinnointi Vaatimukseen tulee lisätä järjestelmien asetuksien ja toiminnan muuttumisen valvonta, jolloin muutos johtaa aina sen oikeellisuuden tarkistamiseen. I-16Turvallisuusluokitellun tiedon käsittelyyn liittyvän tietojenkäsittely- ympäristön suojaus koko elinkaaren ajan – Muutoshallintamenettelyt Vaatimukseen tulee lisätä järjestelmien asetuksien ja toiminnan muuttumisen valvonta, jolloin muutos johtaa aina sen oikeellisuuden tarkistamiseen. I-17 Turvallisuusluokiteltujen tietojen käsittely fyysisesti suojattujen alueiden sisällä - Fyysinen turvallisuus Turvallisuusluokkien III-II osalta tulee huomioida käsittelylaitteeseen kytkettävät laitteet, jotka eivät ole kyseisen turvallisuusluokan hyväksyttyjä laitteita, esim. USB laitteet tai näytöt matalamman turvallisuusluokan tilassa. Tähän viitataan Lisätietoja – osiossa, mutta siitä ei ole esitetty vaatimuksissa. Helsingissä 13.11.2020 F-Secure Cyber Security Services Oy Teppo Kilpeläinen Director, F-Secure Consulting Lisätietoja antavat Pasi Korhonen Principal Consultant pasi.korhonen@f-secure.com +358 40 591 6497 Sakari Wallinmaa Senior Advisor sakari.wallinmaa@f-secure.com +358 40 823 2669
  
  Länsi-Uudenmaan pelastuslaitos, Markkanen Kimmo
  
  Päivitetty:
  
  13.11.2020
  
  Länsi-Uudenmaan pelastuslaitos kiittää mahdollisuudesta lausua KATAKRI 2020 -auditointikriteeristöön ja toteaa lausuntonaan seuraavaa: Yleisesti toteamme KATAKRI 2020 -auditointikriteeristön päivityksen olevan tervetullut. Auditointikriteeristö on yleisiltä osiltaan kannatettava ja vaatimusten mukaisuudet ovat nykyaikaiset. Yksittäisiin vaatimuskohtiin lausumme seuraavaa: T-02: Tietoturvallisuuden tehtävien ja vastuiden määrittelyssä tulee myös määritellä vastuuhenkilölle riittävä työajan resursointi, jotta tietoturvatyön kehittäminen ei kärsi. Tällä myös estetään se, että tietoturvatyötä ei tehdä varsinaisen oman työn ohella, vaan että tehtävään nimetyllä henkilöllä olisi ajankäytöllisesti riittävät mahdollisuudet suorittaa tietoturvatyö menestyksekkäästi. Tämä olisi hyvä lisätä lisätietojen yleistä-kohtaan. T-11: Salassapito- tai vaitiolositoumus tulisi ulottaa jokaiseen salassa pidettävää tai turvallisuusluokiteltua tietoaineistoa käsiteltävän henkilöön työsuhteen laadusta riippumatta, joka käsittelee työtehtävässään edellä mainittuja tietoaineistoja, jotta organisaatiolla on olemassa riittävä dokumentaatio palveluksessaan työskentelevien henkilöiden sitoutumisesta vaitiolovelvollisuuteen. Samoin vaitiolovelvollisuus- ja salassapitositoumus tulee ulottaa koskemaan organisaation palveluntuottajien henkilöstöä kuten siivoajia sekä huoltohenkilöstöä, mikäli näille henkilöille on myönnetty kulkuoikeus hallinnolliselle tai turva-alueelle. T-13: Henkilöstöluettelon pitäminen tulee ulottaa myös TL I -tason asiakirjoihin (1101/2019: Valtioneuvoston asetus asiakirjojen turvallisuusluokittelusta valtionhallinnossa 9 §). Osa-alue F: Fyysinen turvallisuus. Johdanto-osuudessa tulisi huomioida myös julkiset alueet osana fyysisten tilojen kehäsuojausta. F-03: Alakohta h on kirjattu listaukseen kahdesti, kameravalvonta käsitellään alakohdassa e kertaalleen. F-04: Taulukko tulisi suunnitella lopulliseen versioon luettavuuden parantamiseksi siten, että taulukon otsikot toistuvat jokaisella sivulla. Luettavuuden helpottamiseksi termi ”päätelaitteessa” tulisi muuttaa muotoon ”sähköinen aineisto”. TL III -paperinen aineisto, säilytys turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa ei ole hyväksyttävissä, koska eri toimijoilla voi muodostua erilainen näkemys soveltuvasta säilytysratkaisusta. Kansainvälisessä aineistossa säilytysratkaisun tyyppi on sanottu suoraan. Tämä johtaa tilanteeseen, jossa kriteeristön tulkinnasta johtuen eri tietoaineistolle voi olla erilainen säilytysratkaisu eri viranomaisissa, joka voi aiheuttaa luottamusongelmia tietoaineiston siirtämisessä toimijoiden välillä. Säilytysratkaisun tulisi olla selkeästi kuvattu sekä yhtenevä kansainvälisen tietoaineiston osalta, mikäli suinkin mahdollista. Taulukossa sekä vaatimuksessa on huomioitava tarkemmin etätyöskentely turvallisuusviranomaisten osalta kenttäolosuhteissa. Esimerkkinä pelastustoimen etäkäyttö tilannepaikalla, jolloin aineistoa joudutaan säilyttämään sekä käsittelemään esimerkiksi johtoautossa paperimuodossa. Taulukon mukaan TL III sähköistä aineistoa voidaan säilyttää vaatimukset täyttävässä laitteessa sekä lisäehtojen täyttyessä. Vaatimuksessa viitataan kohtaan F-05.5 valvotun tilan osalta, jonka mukaan alue ja ovet voidaan varustaa tunkeutumisen ilmaisujärjestelmällä. Koska TUVE-työasema täyttää TL III aineiston käsittely- ja säilytysvaatimukset, johtaa tämä pelastustoimen osalta kustannusten rajuun nousuun haja-asutusalueiden paloasemilla TUVE-työasemien yleistyessä, mikäli vaatimus halutaan täyttää miehittämättömillä asemilla täydellisesti. Vaihtoehtoisesti tällaisella vilkkaalla haja-asutusalueen paloasemalla jouduttaisiin investoimaan turvapusseihin useita satoja kappaleita. Turvapussin vaikutusta tietoaineiston varastamiseen ei kuitenkaan voida pitää riittävänä suojatoimenpiteenä, koska pussi ainoastaan kertoo käsittely-yrityksestä. Mikäli tilaan tunkeudutaan ja laite varastetaan, ei pussi itsessään estä varkautta. Vaatimuksessa tuleekin kiinnittää enemmän huomiota aluesuojauksen kokonaisuuteen sekä tilan kulunvalvontaan ja pääsyoikeuksien hallintaan. Lisäksi toteamme, että vaatimuksessa F-05.5 viitataan tilanteeseen, jossa alueella säilytetään turvallisuusluokiteltua tietoaineistoa lukittavassa toimistokaapissa. Tässä siis viitataan toimistokaappiin hyväksyttävänä säilytysratkaisuna, jota kohdan F-04 taulukossa ei erikseen täsmennetä. F-05.8, kohta 2: TL III -aineistoa sisältävä päätelaite voidaan säilyttää hallinnollisessa tilassa, mikäli säilytys tapahtuu lukitussa toimistokalusteessa turvapussissa. Viittaamme kohdan F-04 taulukossa nostettuun ongelmaan työskentelyn mahdollistamisesta sekä säilytyksen ongelmallisuudesta käytettäessä turvapusseja sekä lukitun toimistokalusteen määrittelyn riittämättömyyttä. Sama vaatimus ilmenee myöhemmin kohdassa I-17, mutta huomattavasti lievemmin sanamuodoin, joka on pelastustoimessa paremmin toteutettavissa. Tämä kohta ei ota huomioon tiedon salausta osana muita tiedon turvallisuusratkaisuita. Kohdassa I-17 mahdollistetaan päätelaitteen säilytys turva- ja hallinnollisen alueen ulkopuolella riskiarvion perusteella ja sillä edellytyksellä, että tietoaineisto on salattu. Lisäksi nostamme esille, että kohdassa F-05.8 ilmaistaan selkeänä vaatimuksena se, että tilan on oltava murtohälyttimen valvonnassa kohdan F-05.5 vaatimuksen mukaisesti. Kuitenkin kohta F-05.5 ei velvoita organisaatiota suoraan varustamaan tilaa murtohälyttimellä kuin ainoastaan riskiarvioon perustuen. Tämä ristiriita on ratkaistava lievempien vaatimuksien, F-05.5:n ja I-17:n mukaiseksi. F-05.8, kohta 3: Kohdasta ei ilmene riittävän tarkasti, ovatko kaikki kohdat velvoittavia vai riittääkö vaatimuksen täyttämiseksi vain yksi ratkaisu listatuista viidestä. Kohtaa on tarkennettava selkeämpään muotoon. F-06.2: Vaatimuksen termi ”kulkulupien” tulisi selkeyden vuoksi muuttaa muotoon ”henkilökohtaisilla kulkuoikeuksilla”. Kaksoistunnistuksen tulisi olla pakollinen vaatimus turva-alueella alueella säilytettävien laitteiden ja tietoaineistojen luokituksesta johtuen. Kaksoistunnistus voidaan toteuttaa kulkuoikeustunniste + PIN yhdistelmällä tai asettamalla tilan sisä- ja ulkopuolelle kameravalvonta siten että henkilö on jälkikäteen tunnistettavissa tallenteelta, mikäli käytetään pelkkää kulkuoikeustunnistetta. I-01: Vaatimuksessa todetaan, että TL III -tietojenkäsittely-ympäristössä työskennellessä tulisi mahdollistaa internetin tai muiden alempien turvallisuusluokkien tietojenkäsittely-ympäristöjen toteuttaminen erillisellä työasemalla. Vaatimus tulee voida toteuttaa vaihtoehtoisesti esimerkiksi virtualisoiduilla ratkaisuilla, joissa työskentely tapahtuu eristetyssä sovelluksessa, jolla ei ole suoraa liityntäpintaa tai yhteyttä TL III -tietojenkäsittely-ympäristöön tai siellä säilytettäviin tai käsiteltäviin tietoaineistoihin. I-17: TL III aineisto esitetään säilytettäväksi kassakaapissa taukojen ajaksi. Vaatimus koskee ilmeisimminkin vain paperista aineistoa. Viittaamme jälleen kohdan F-04 kohdassa olevaan yleiseen vaatimukseen ”lukitusta toimistokalusteesta”. Vaatimusta tulee tarkentaa koskemaan joko lukittavaa toimistokalustetta (jonka vähimmäisvaatimukset on myös tarkennettava), kassakaappia tai muuta vastaavan turvallisuuden säilytysratkaisua.
  
  Elinkeinoelämän keskusliitto EK, Lainsäädäntö ja hallinto, Rajamäki Markku
  
  Päivitetty:
  
  13.11.2020
  
  Elinkeinoelämän keskusliitto EK ("EK") kiittää lausuntomahdollisuudesta ja toteaa Katakri 2020 -luonnoksesta seuraavaa: Yleistä Auditointikriteeristön soveltamisen kohteena tyypillisesti olevien yritysten kannalta on erittäin kannatettavaa, että turvallisuusauditointikriteeristöä on kehitetty edelleen siihen suuntaan, että siinä todetaan yksittäisten, usein melko teknisten vaatimusten asemesta turvallisuuden tavoitetila ja annetaan esimerkkejä, millaisilla turvallisuustoimilla tavoitetilaan on mahdollista päästä. Toteutusesimerkit eivät ole sitovia, ja ne ovat korvattavissa myös muilla vastaavan tasoisilla suojauksilla. Kannatamme tätä vaatimusten esittämisen mallia; on pyrittävä mahdollisimman pitkälle välttämään teknisiä, yksityiskohtaisia vaatimuksia, koska usein ne vanhenevat teknologioiden kehittyessä ja ovat lisäksi tyypillisesti joustamattomia soveltamisen kohteena olevien yritysten kannalta. Kysymys turvaluokiteltujen tietojen käsittelyn alueellisista rajoituksista on merkityksellinen ja jatkuva haaste puolustusalan, turvallisuuden ja tekniikan aloilla toimiville yrityksille. Monikansallisissa ympäristöissä toimivien yritysten sääntelyvaikutusten ja kannattavuuteen liittyvien seikkojen vuoksi on perusteltua huomioida yleinen tietojärjestelmien siirtyminen kohti pilviratkaisuja. Tällä muutoksella on vaikutuksia myös salassa pidettävää tietoa koskevissa hankkeissa. Toisen maan viranomaisten aiheuttamaa tietoturvariskiä turvaluokiteltujen tietojen käsittelylle ko. maassa sijaitsevissa pilviympäristöissä ei ole esityksessä käsitelty riittävästi. Yritystoimintaa koskevaa tietoturvallisuuden toimintaympäristön muutosta ohjaavat yhä voimakkaammin työn tuottavuuteen liittyvät vaatimukset liikkuvasta työnteosta sekä tietoverkoissa käytettävien sovellusten siirtymisestä datakeskuksiin (pilveen). Siten yritysten on tältä osin ja myös yleisesti itse saatava päättää turvallisuustoimiensa sisältö ja näin halutun turvallisuustason tavoittelemisen tapa mahdollisimman pitkälle myös niissä tilanteissa, joissa suojattavana on viranomaistieto. Katakrin rakenne (s. 3) Luonnoksessa todetaan: ”Vaatimuksissa tai toteutusesimerkeissä ei kuvata kaikkiin ympäristöihin tai erikoistapauksiin riittäviä suojauksia. Esimerkiksi käsiteltäessä sellaisia turvallisuusluokiteltuja tietoja, joiden voidaan olettaa olevan poikkeuksellisen ulkopuolisen kiinnostuksen kohteena, vähimmäissuojauksia on perusteltua täydentää lisäsuojauksilla.” Katsomme, että vähimmäissuojausten täydentäminen uhka-arvion perusteella on hyvä ja tärkeä periaate, mutta esimerkkinä annettu viittaus on epämääräinen ja jättää sen avoimeksi, kenen tehtävänä arvion tekeminen on. Selkeämpi määritelmä olisi esim. ”…tietoja, joiden toimivaltainen viranomainen on arvioinut olevan poikkeuksellisen ulkopuolisen kiinnostuksen kohteena…” Katakrin käyttö (mm. s. 4) Katakrin 2015 versiossa oli selkeästi esitetty kriteeristön käyttötapa julkisten hankintojen yhteydessä. Julkisissa hankinnoissa on tästä huolimatta edelleen viitattu Katakriin tietoturvallisuuden vaatimuksina, joten Katakrin käyttötapoja olisi syytä edelleen painottaa vastaavasti myös nyt lausuttavana olevassa versiossa. Ehdotamme sivulle 4 lisättäväksi Katakri 2015 mukaisen kannanoton Katakri 2020:n käytöstä: ”Katakria ei ole tarkoitettu käytettäväksi sellaisenaan julkisen hankinnan turvallisuusvaatimuksena. Julkisessa hankinnassa tarkat turvallisuusvaatimukset tulisi määrittää erikseen ottaen huomioon hankintaa koskevat riskit ja erityistarpeet. Yksittäiseen hankkeeseen voi sisältyä muitakin kuin Katakriin koottuja salassa pidettävän tiedon käsittelyä ja suojaamista koskevia vaatimuksia. Näiden vaatimusten toteutumista ei arvioida Katakrin avulla, vaan kohdeorganisaatio sitoutuu noudattamaan niitä sopimusperusteisesti.” Toisena asiana Katakrin soveltamisalasta luonnoksen sivulla 4 todetaan: ”Katakrin tuetuissa käyttötapauksissa (L 726/2014, L 588/2004, L 1406/2011) turvallisuusluokitellun tiedon käsittelyn tulee tapahtua kokonaisuudessaan Suomen lainsäädännön piirissä. Poikkeuksena kansainväliseen viranomaisyhteistyöhön liittyvät erityistapaukset, joissa muun muassa toimivalta- ja tarkastusvastuista on kyseisten maiden turvallisuusviranomaisten kesken erikseen sovittu, ja käsiteltävät tiedot on luovutettavissa kyseisen kansainvälisen viranomaisyhteisön jäsenmaille.” Lisäksi Teknisen tietoturvallisuuden osa-alueen johdantotekstissä todetaan seuraavaa: ”Turvallisuusluokitellun tiedon sähköisen käsittelyn suunnittelussa ja arvioinnissa on huomioitava myös lainsäädäntöjohdannaiset riskit." Kohtaan liitetyn alaviitteen mukaan näillä riskeillä tarkoitetaan: "Lainsäädäntöjohdannaisilla riskeillä viitataan eri maiden lainsäädännössä oleviin mahdollisuuksiin velvoittaa palveluntarjoajat toimimaan yhteistyössä kyseisen maan viranomaisten kanssa, ja tarjoamaan esimerkiksi suora tai epäsuora pääsy palvelun asiakkaiden turvallisuusluokiteltuihin tietoihin. Lainsäädäntöjohdannaiset riskit voivat ulottua sekä turvallisuusluokitellun tiedon fyysiseen sijaintiin että muun muassa toisesta maasta käsin hallintayhteyk-sien kautta toteutettavaan tietojen luovutukseen. Lainsäädäntöjohdannainen tietojen luovuttaminen ja tutkimusoikeus on useissa maissa rajattu koskevaksi poliisia sekä tiedusteluviranomaisia." ”Katakrin tuetuissa käyttötapauksissa toimivaltaisen viranomaisen hyväksyntä edellyttää tyypillisesti sitä, että sähköinen käsittely-ympäristö on kokonaisuudessaan Suomen lainsäädännön alaisuudessa.” ”Arvioitaessa viranomaisen turvallisuusluokitellun tiedon käsittely-ympäristöä, osa ympäristöstä voi olla toteutettuna pilviteknologiaa hyödyntäen. Pilviteknologian käyttö ei kuitenkaan muuta keskeisiä riskejä eikä niiden pienentämiseen käytettävien vähimmäissuojausten tarpeellisuutta tai velvoittavuutta. Pilvipalveluihin liittyvien erityisriskien ja vähimmäissuojausten suhdetta on käsitelty yksityiskohtaisemmin Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen julkaisemassa Pilvipalveluiden turvallisuuden arviointikriteeristössä (PiTuKri).” Sääntely on monessa valtiossa pitkälle kehittynyttä yritystoiminnan oikeuksien turvaamiseksi. Siten yrityksillä on laajasti oikeuksia, joista osaa voidaan pitää perusoikeuksien tasoisena, ja jotka ovat tasapainottava tekijä turvallisuusviranomaisten toimivallan määrittämisessä. Näihin oikeuksiin liittyvällä valtion turvaamisvelvoitteella on suoraa vaikutusta viranomaisten mahdollisuuksiin murtaa yksityisen hallussa olevien turvaluokiteltujen tietojen luottamuksellisuus. Nämä tosialliset lainsäädäntöjohdannaiset riskit tulisi arvioida valtiokohtaisesti sen sijaan, että käsittely-ympäristöt rajataan yksioikoisesti kaikissa tilanteissa (esim. TL IV) Suomen valtion rajojen sisäpuolelle. Katakri 2020 -versio vaikuttaa edelleen sisältävän epätäsmällisen ja nykyaikaiseen digitaaliseen ympäristöön heikosti soveltuvan käsityksen tietoaineistoon kohdistuvien lainsäädäntöjohdannaisten riskien rajoittumisesta yksinomaan Suomen valtiorajojen sisälle. Voitaneen myös todeta, että joidenkin valtioiden turvallisuus- ja tiedusteluviranomaisten toimivalta oman valtion oikeudenkäyttöpiirin ulkopuolella saattaa olla jopa valtion sisäistä toimivaltaa laajempi. Vaikka Katakri 2020 sisältää viittauksen PiTuKriin ja pilviteknologian hyödyntämismahdollisuuksiin, ehdotamme myös Katakri 2020 -versioon sisällytettävän kannanoton siitä, että tietyissä tilanteissa viranomaisen turvallisuusluokiteltu tieto sähköisessä käyttöympäristössä voidaan sijoittaa Suomen oikeudenkäyttöpiirin ulkopuolelle. Tämän mahdollistamiseksi Katakri 2020 -versioon sisältyvien riskinhallintakeinojen (erityisesti Tekninen tietoturvallisuus) lisäksi tulisi sisällyttää vaatimus arvioida ko. toisen valtion lainsäädäntöjohdannaisten riskien tosiasiallinen vaikutus informaation luottamuksellisuuden vaarantumiselle, kun perusteltu tarve käsittely-ympäristön sijoittamisesti toisen valtion alueelle on olemassa. Lainsäädäntöjohdannaisen riskin arviointi voi-daan toteuttaa oikeudellista riskinarviointimallia hyväksikäyttäen. Mikäli riskin todennäköisyys todetaan vähäiseksi, tai olemattomaksi, tulisi sähköisen käyttöympäristöön sisältyvän tietovarannon voida sijaita myös toisen valtion alueella. Ehdotamme selkeyttävien kirjauksien lisäämistä Katakri 2020 -versioon seuraavien huomioiden mukaisesti. Käyttötapaus 1: Pääsy tietojärjestelmään toisen valtion oikeudenkäyttöpiiristä käsin, kun viranomaisen turvallisuusluokiteltu tieto sähköisessä käyttöympäristössä on Suomen lainsäädännön piirissä (eli tietoaineisto sijaitsee tosiallisesti Suomessa). Johtaako Katakri 2020:n tulkinta tällöin siihen, että sinänsä luvallinen tiedon käsittely luvallisen henkilön toimesta päätelaitteelta, joka sijaitsee käsittelyhetkellä toisen valtion alueella, olisi kielletty? Huomautettakoon, että alkuvuodesta 2020 mm. Yhdysvaltojen toimivaltainen viranomainen päätti lieventää tiettyjen ITAR-sääntelyn (International Traffic in Arms Regulations) alaisten tietojen käsittelyn toisen valtion oikeudenkäyttöpiirissä, kun tieto on salattu ns. päästä-päähän -menettelyllä. Käsittelysäännön muutos tarkoittaa käytännössä sitä, että ko. tilanteessa tiedon ei katsota poistuneen tiedon omistajavaltion alueelta. Ehdotamme, että Katakri 2020 -versioon kirjataan selkeä tulkintaohje sen mahdollistamiseksi, että viranomaisen turvallisuusluokiteltuun tietoon oikeutetun henkilön hyväksytyssä sähköisessä käyttöympäristössä tapahtuva tietojen käsittely on mahdollista myös toisen valtion alueelta. Käyttötapaus 2: Viranomaisen turvallisuusluokiteltu tieto sähköisessä käyttöympäristössä on tarpeen sijoittaa Suomen oikeudenkäyttöpiirin ulkopuolelle (eli tietoaineisto sijaitsisi tosiallisesti toisen maan alueella). Käyttötapaus viittaa käytännössä tilanteisiin, jossa monikansallisen yrityksen tuotantoon liittyvä käyttöympäristö sijaitsee toisen valtion alueella olevassa konesalissa joko yksityisenä ”pilvipalveluna” tai ns. julkisena pilvipalveluna. Ehdotamme, että Katakri 2020 -versiossa määriteltäisiin, milloin tai millaisen harkinnan perusteella tämä olisi mahdollista. Osioon Turvallisuusjohtaminen (T) liittyvät kommentit vaatimuskohdittain Vaatimus T-06 (s. 11): Luonnoksen Vaatimus-kohdassa todetaan: ”c) Turvallisuusluokitellut tiedot on suojattu teknisiltä ja fyysisiltä vahingoilta.” Yleistä-kohdassa todetaan: ”Organisaatiolla tulee olla varmuus siitä, että käsiteltävä tieto tai järjestelmä on suojattu fyysisiltä vahingoilta kuten tulipalot, vesivahingot tai ilkivalta sekä sähköisiä menetelmiä käyttäen aiheutetuilta fyysisiltä vahingoilta kuten laitteiden rikkoutuminen.” Katakri 2020 versiossa toiminnan jatkuvuuden hallinnan yllä kuvattua vaatimusta ei ole esitetty yhtä selkeästi kuin Katakri 2015 version vaatimuksessa F-08. Katakri 2015 F-08 vaatimuksessa esitetyt kriittisten palvelin- ja laitetilojen toimintavaatimukset puuttuvat 2020 versiosta. Esimerkiksi LVI-automaationhallinnan etäkäytön ja olosuhdesensoreiden vaatimukset puuttuvat kokonaan, vaikka kiinteistöautomaatiojärjestelmiin liittyvät haavoittuvuudet ovat yleisesti hyvin tiedossa. Ehdotamme kriittisten palvelin- ja laitetilojen toimintavaatimusten lisäämistä Katakri 2020 versioon siten kuin ne on kirjattu 2015 versiossa vaatimuksessa F-08. Osioon Fyysinen turvallisuus (F) liittyvät kommentit vaatimuskohdittain Luonnoksessa (osa-alueen johdantoteksti, s. 19) todetaan: ”F-osa-alueen tekstissä käytettävällä termillä ”viranomainen” viitataan luovutettavan ja auditoinnin perusteena olevan turvallisuusluokitellun tiedon omistajaan, jonka on turvallisuusluokitteluasetuksen (1101/2019, 6 §) mukaan ennakolta varmistuttava siitä, että auditoinnin kohteelle luovutettavien turvallisuusluokiteltujen tietojen salassapidosta ja suojaamisesta huolehditaan asianmukaisesti. Käytännössä termi ”viranomainen” tarkoittaa Katakria käyttävää auditoijaa. Viranomaisella tarkoitetaan kuitenkin Suojelupoliisia tai Pääesikuntaa, mikäli fyysisten turvatoimien tavoitteiden täyttymisen arviointi kuuluu osaksi niiden lakisääteisiä tehtäviä (KvTituL 588/2004, 4 §; 726/2014, 9 § & 39 §).” Termin ”viranomainen” kuvaus on epäselvä, koska samalla termillä viitataan useaan toimijaan. Ehdotamme läpi koko dokumentin käytettäväksi selkeitä, varsinaisen toimijan kuvauksia. Esim. luokitellun tiedon omistaja, Auditoija, Suojelupoliisi, Pääesikunta. F-02 (s. 21-22): Johdanto-kohdassa todetaan: ”Riskien arvioinnissa tulee huomioida sekä tiedon haltijan että viranomaisen näkemys riskeistä ja valittujen turvatoimien riittävyydestä ja viranomaisen on hyväksyttävä fyysisiin turvatoimiin liittyvä jäännösriski.” Mihin sana ”viranomainen” viittaa tässä tapauksessa? Käsiteltävän tiedon omistajaan vai auditoijaan? Tiedonhallintalain mukaan tietojen omistaja vastaa tiedonhallintasuunnitelmaan kuuluvasta riskiarvioinnista ja tietoturvatoimenpiteiden riittävyydestä. F-03 (s. 23): Kohdassa olisi hyvä painottaa sitä, että tekniset turvallisuusjärjestelmät ovat nykyään tietojärjestelmiä, jolloin niiden tietoturvallisuuteen tulisi panostaa, jotta ei synny tilannetta, jossa turvajärjestelmästä tulee hyökkäyskanava. Hallintajärjestelmien osalta tulisi huomioida mm. käytettävät verkot, etäyhteydet ja ulkoistukset. Kohdassa ei ole mainintaa turvajärjestelmien ns. blackout-testauksesta virransyötön häiriöiden varalta. Ehdotamme lisättäväksi maininnan siitä. F-05.2 (s. 32): Vaatimus: ”Ainoastaan viranomaisen asianmukaisesti valtuuttamilla henkilöillä on itsenäinen pääsy alueelle. Viranomaisen on määriteltävä alueen pääsyoikeuksien ja avainhallinnan menettelyt ja roolit.” Katakri 2020 F-05.2 ja F-05.3 mukaan hallinnolliselle alueelle pääsee itsenäisesti vain sellainen henkilö, joka on viranomaisen valtuuttama. Mihin ”viranomainen” viittaa tässä tapauksessa? Toimittaja tuottaa palvelua, jonka turvallisuus arvioidaan Katakrin mukaisesti. Milloin tarvitaan lisäksi erikseen, yksittäisten henkilöiden osalta, viranomaisen hyväksyntä? Ehdotamme kohdan muutettavaksi muotoon, jossa toimittajan oma vastuuhenkilö voi myöntää pääsyoikeudet F-05.2 periaatteiden mukaisesti. F-05.7 (s. 36): Yleistä-kohdassa mainittujen lisäksi olisi hyvä huomioida elektroniset laitteet laajemmin, esim. älysormukset ja -vaatteet, kuulokkeet jne. F-05.8 (s. 37): Lukittavista toimistokalusteista todettua olisi hyvä tarkentaa. Toimistokalusteita on monenlaisia ja kevyimmissä on yleensä numeroyhdistelmälukko, johon saatavilla geneerinen master-avain. F-06.2 (s. 40): Käytettävistä tunnisteiden salausteknologioista todettua olisi hyvä tarkentaa. F-06.7 (S. 45): Yleistä-kohdassa todetaan: ”Alueen tunkeutumisen ilmaisujärjestelmän hallinta tulee olla organisaation omassa hallinnassa.” Sitä vastoin vaatimuksissa F-06.2 (ja F-05.2) todetaan: ”Kulunvalvontajärjestelmän hallinta voi olla ulkoistettu, jos se on hyvin hallinnoitu.” Ulkoistetun hallintapalvelun osalta väärinkäytöksen riski kohdistuisi kuitenkin todennäköisemmin tilan kulunvalvontaan kuin tilaan tunkeutumiseen. Lisäksi, mikäli kulunvalvontajärjestelmä ja tunkeutumisen ilmaisujärjestelmän toimintoja on integroitu (esim. kulunvalvontajärjestelmällä ohjataan tunkeutumisen ilmaisujärjestelmän toimintaa) tai kulunvalvontaan sekä tunkeutumisen ilmaisuun käytetään yhtä järjestelmää, ko. järjestelmän hallinnan ulkoistaminen estyy tunkeutumisen ilmaisujärjestelmään esitettyjen vaatimusten vuoksi. Ehdotamme kohtaa muutettavaksi siten, että tunkeutumisen ilmaisujärjestelmän hallinta voitaisiin ulkoistaa samoin edellytyksin kuin kulunvalvontajärjestelmän hallinta. F-06.9 (s. 47): Yleistä-kohdassa mainittujen lisäksi olisi hyvä huomioida elektroniset laitteet laajemmin, esim. älysormukset ja -vaatteet, kuulokkeet jne. Osion Tekninen tietoturvallisuus (I) liittyvät kommentit vaatimuskohdittain I-01 (s. 59) Yleistä-kohdassa todetaan: ”Huom: Turvallisuusluokan ylitys hallintaliikenteen (vrt. I-04) osalta edellyttää toimivaltaisen viranomaisen ko. tur-vallisuusluokalle hyväksymää yhdyskäytäväratkaisua. Käytännössä hallintaliikenne rajataankin lähes poikkeuksetta turvallisuusluokittain.” Toteutusesimerkkejä: ”Turvallisuusluokan IV tietojenkäsittely-ympäristön yhdistäminen eri turvallisuusluokan ympäristöihin voidaan toteuttaa palomuuriratkaisuilla ja rajaamalla turvallisuuskriittisten alemman turvallisuusluokan ympäristöä käyttävien palvelujen (web-selailu, Internetin kautta reitittyvä sähköposti, ja vastaavat) liikenne kulkemaan erillisten sisältöä suodattavien välityspalvelinten kautta.” Olisiko syytä selvyyden vuoksi täsmentää, että em. toteutusesimerkki ei päde hallintaliikenteeseen? I-06 (s. 70): Kohdassa "Tarkastusoikeuden ottaminen huomioon teknisessä toteutuksessa" todetaan: ”b) Luotettavaan loogiseen erotteluun (esim. hyväksytysti salatut virtuaalikoneet levyjärjestelmän asiakaskohtaisesti dedikoiduilla levyillä, ja tiedon/tietoliikenteen hyväksytty salaus yhteiskäyttöisillä verkkolaitteilla) perustuvat menetelmät soveltuvat turvallisuusluokille IV ja III.” Ehdotamme tarkennettavaksi, tarkoitetaanko asiakaskohtaisesti dedikoidulla levyllä turvatasolle hyväksytystä jaetusta levyjärjestelmästä dedikoitua virtuaalilevyä? I-20 (s. 99): Vaatimus-kohdassa todetaan: ”Turvallisuusluokiteltua tietoa sisältävät varmuuskopiot suojataan niiden elinkaaren ajan vähintään vastaavan tasoisilla menetelmillä, kuin millä alkuperäinen tieto on suojattu.” Toteutusesimerkki-kohdassa todetaan: ”6) Varmuuskopioista on rekisterit ja varmuuskopioiden käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai tietoon (esimerkiksi dokumentin osaksi). (Vrt. I-18)” Pyydämme tarkentamaan, viittaako sana ”tieto” samaan asiaan vaatimuksessa ja toteutusesimerkissä? Kunnioittavasti Elinkeinoelämän keskusliitto EK Lainsäädäntö ja hallinto Tommi Toivola Johtaja
  
  Valtioneuvoston kanslia, Lausunto on laadittu valmiusyksikön toimesta yhdessä valtioneuvoston kanslian tila- ja virastopalveluyksikön, IT_yksikön ja tiedonhallintayksikön kanssa., Pallaspuro Juha
  
  Päivitetty:
  
  13.11.2020
  
  Lausunto on laadittu valtioneuvoston viralliseen asiahallinta-järjestelmään, ja ohessa tekstiosuus. VALTIONEUVOSTON KANSLIAN LAUSUNTO KATAKRI 2020 (LUONNOS) 1. Yleistä Valtioneuvoston kanslian huomiot tietoturvallisuuden auditointityökalusta, Katakri 2020 luonnoksesta on esitetty sen rakenteen mukaisesti. Yleiset kommentit on lisätty turvallisuusjohtamista koskevaan osaan. Osa huomioista on samalla kannanottoja siitä, miten asia tulee ottaa huomioon valtioneuvostossa. Katakri 2020 on väline, jolla arvioidaan kohdeorganisaation kykyä suojata kansallista tai kansainvälistä turvallisuusluokiteltua tietoa. Valtioneuvoston kanslia vastaa valtioneuvoston ja sen ministeriöiden yhteisistä hallinto- ja palvelutehtävistä, joita on edelleen tarkennettu asetuksessa (39/2007) ja valtioneuvoston ohjesäännössä (262/2003). 2. Turvallisuusjohtaminen (T) Katakrissa esitetyt vaatimukset tulevat lainsäädännöstä, joten niiden sisältöön ei oteta kantaa. Eri osioiden lisätietoja- sekä toteutusesimerkki-kohdat ovat osiltaan tulkinnanvaraisia, ja ajoittain tästä on aiheutunut epäselvyyksiä vaatimusten täyttämiseksi. Useiden vaatimuksen täyttyminen edellyttää toimia sekä valtioneuvoston kanslialta, että ministeriöiltä. Tehtävien ja vastuiden määrittämisessä sekä turvallisuus-ohjeistuksessa olisi hyvä olla maininta (tai selkeä viittaus kohtaan Turvallisuuskoulutus, T-12) siitä, että henkilöstön tulee perehtyä ajantasaiseen ohjeistukseen ja sen valvotaan. Lisäksi alla on lueteltu yksityiskohtaisia huomioita turvallisuusjohtamisen eri osa-alueista seuraavasti: - osa turvallisuusjohtamisen osiossa määritellyistä vaatimuksista ja toteutustavoista hajautuu isoissa organisaatiossa usean yksikön vastuualueelle, jolloin vastuut siiloutuvat - terminologian selkiyttäminen ja tarkka määrittely joissain tapauksessa on tarpeen. Keskeisesti tulisi selkeyttää mitä Katakri 2020ssa tarkoitetaan tiedonhallinnalla - Ks. esim. kohta T-02 Turvallisuustyön tehtävien ja vastuiden määrittäminen, missä tiedonhallintaan liittyvien vastuiden alla käsitellään erityisesti tietoturvallisuusohjeiden ylläpitoa, riskienhallintaa, varautumista sekä tietoturvallisuuden kokonaisvastuussa olevaa henkilöitä. - Ks. esim. kohta F-04 Tiedon käsittely ja säilytys turvallisuusalueilla ja niiden ulkopuolella. Mitä tarkoitetaan termillä ”säilytys” (vrt. pari päivää kotona etätöissä / tiedonhallintalain mukainen säilytys). - usean vaatimuksen täyttyminen edellyttää toimia sekä valtioneuvoston kanslialta, että ministeriöiltä. Esimerkiksi paperiasiakirjojen käsittely ja käsittelyoikeuksiin perustuvat asiakirjajakelut. - Ks. esim. kohta T-13 Tiedonsaantitarve ja käsittelyoikeudet. - Ks. esim. kohta F-04: ”Kv-aineiston käsittely turvallisuusalueiden ulkopuolella on mahdollista, jos tiedon käsittelijä on ilmoittanut asiasta asiaankuuluvalle kirjaamolle.” - vastuun katsotaan usein olevan tiedon omistajalla. Kuitenkin valtioneuvoston kanslia toimii tiedonhallinnassa ministeriöiden lukuun, valtioneuvoston tasolla yhtenäisin toimintatavoin. Miten vaatimusten toimeenpano todennetaan ja miten vastuut on määritelty. - Ks. esim. T-08 Tietojen luokittelu: ”Mikäli turvallisuusluokiteltua tietoa on runsaasti, on arvioitava, onko kohteen turvallisuusluokka korkeampi”. Liittyy asiaan valtioneuvostotasoinen arkistointi valtioneuvostossa ja sen ministeriöissä. - Ks. esim. T-10 Henkilöstön luotettavuuden arviointi: ”Henkilöturvallisuusselvityksen hakee turvallisuusluokitellun tiedon omistava viranomainen”. - Ks. esim. T-12 Turvallisuuskoulutus. VNK vastaa osaltaan koulutuksesta mutta ministeriöt myöntävät virkamiesten käsittelyoikeudet eli vastaavat samalla siitä, että virkamiehillä on riittävä osaaminen. - Missä ja kenen toimesta määritellään riittävä dokumentaation taso - Ks. esim. T-02: ”Turvallisuusdokumentaatio kattaa turvallisuusluokiteltuun tietoon liittyvät prosessit ja käsittely-ympäristöt koko tiedon elinkaaren ajalta” - Ks. esim. T-04 Turvallisuusohjeistus. Nykytilassa paljon suullista perehdytystä ja sisäisiä ohjeita. - Ks. esim. T-05 Turvallisuustyön resurssit. Turvallisuustehtäviä hoitavilla on riittävä asiantuntemus sekä näistä on näyttöjä. Katetaanko vaatimus esim. rekrytointien yhteydessä. 3. Fyysinen turvallisuus (F) Monitasoinen suojaus on onnistunut järjestely, ja sille on erityisesti tarvetta rakennusteknisesti ja suojelullisesti ei-niin-joustavissa rakennuksissa (kulttuuriperintökohteet). Valtioneuvoston ja sen ministeriöiden kiinteistöissä joudutaan tarkastelemaan suojaustoimenpiteitä monitasoisen suojauksen ja hyväksyttävien jäännösriskien näkökulmasta rakennuskohtaisesti. Kassakaappisuosituksia tulisi tarkastella Kokonaisvaltaisemmin. "Yleinen suositus on taso II. Riskiarvioinnin edellyttäessä, kassakaappi valvotaan sensoreilla ja kassakaappi ankkuroidaan lattiaan." Vanhojen rakennusten välipohjat eivät välttämättä kestä kassakaappia, vaan joudutaan ottamaan sisäkehän säilytysratkaisuksi sinänsä vasteaikaa varmastikin riittävästi lisäävä paloturvakaappi, kun huomioidaan esimerkiksi kulunvalvonnan, turva-alueiden fyysiset ratkaisut ja muut turvallisuutta lisäävät elementit. Riskiarvioinnissa toivoisi asiaa lähestyttävän monitasoisen suojauksen ja vasteajan kautta. Fyysisen turvallisuuskokonaisuuden kustannusvaikutukset rakennushankkeessa ovat yleisen arvion mukaan n. 10-25 %:a riippuen kohteesta. Auditoinnin tekemisen oikea-aikaisuus rakennushankkeen yhteydessä on tärkeää kustannusten hallinnassa. Kriteeristön kirjaimellinen tulkinta saattaa johtaa kustannusten näkökulmasta ylävireisiin ratkaisuihin, kun ne suhteutetaan suojattavaan intressiin (esim. hallinnonalan virasto vrs. turvallisuusministeriö). Erityisesti julkisessa hallinnossa lisääntynyt etätyöskentely edellyttää ohjeiden täsmentämistä mm. tiedon käsittelystä ja säilytysestä turvallisuusalueilla ja niiden ulkopuolella (F-04). Miten tulkitaan termi ”säilytys”. 4. Tekninen tietoturvallisuus (I) Tietojenkäsittely-ympäristöjen (I-01) suojattu yhteen liittäminen ja sen myötä kasautumisvaikutusta tulisi pystyä arvioimaan jo tietojärjestelmien suunnitteluvaiheessa. Ajan myötä järjestelmän tietomäärän kasvaessa kasautumisesta mahdollisesti johtuva turvallisuusluokan nousu ja sen vaatimat tekniset ratkaisut voivat olla vaikeasti ratkaistavissa. Käytössä tulisi olla arviointimalli, mikä helpottaisi päätöksentekoa ennen järjestelmän toteutusta. Pääsyoikeuksien hallinnoinnista (I-06) seuraavat huomiot. Oikeuksien katselmointi säännöllisesti on mainittu toteutusesimerkissä, mutta pitäisikö se nostaa esille perusteellisemmin. Katselmointi (esim. esimiehen ja järjestelmäomistajan toimesta, jotta T-13 vaatimus varmistuu) tulee tehdä, jotta nähdään, ettei oikeuksia ole myönnetty ohi prosessin ja havaitaan mahdolliset väärinkäytökset. Tehtävien erottelussa olisi myös hyvä ottaa huomioon myös järjestelmien väliset oikeudet ja eri järjestelmien oikeuksista muodostuvat käyttöoikeuskokonaisuudet, jotka voivat antaa liikaa oikeuksia käyttäjälle (Segraction of duties). Oleellisesta järjestelmän kovennuksista (I-08) nousee esiin kysymys toimenpiteestä, jossa tietojärjestelmän käynnistäminen tuntemattomalta laitteelta on estetty. Tarkoitetaanko tällä tietojärjestelmän käyttöä vai koko järjestelmän käynnistämistä ml sammuttaminen. Tapahtumien jäljitettävyydestä (I-10) olisi hyvä erikseen mainita, että myös myönnettyjen ja jo päättyneiden käyttöoikeuksien osalta tulisi olla tapahtumaloki tarkasteltavissa. Tällöin jälkikäteen voidaan todentaa, millä perusteellä tietojärjestelmän käyttäjälle on annettu lupa käsitellä tietoja tai onko hänellä ollut edes lupa kyseiseen tietojärjestelmään. Poikkeamien havainnointikyky ja toipuminen (I-11). Vaikka poikkeamien havainnointi teknisten automatisoitujen työkalujen avulla olisi pääasiallinen seurantakeino, olisi kuitenkin hyvä mallintaa jokin tapa manuaalisille tarkastuksille tai pistokokeille. Niiden avulla voidaan havaita yksittäisiä poikkeamia, jotka voivat johtua esim. tahattomasta käyttäjävirheestä tai takaportin kautta sisälle päässeestä haittaohjelmasta tai käyttäjästä. Henkilöstölle pitää tarjota helppo ja nopea ratkaisu tietoturvapoikkeamien raportointiin ja luoda mahdollisimman matala kynnys tuottaa sinne ilmoituksia. Henkilöstön ilmoitukset on myös tarkastettava säännöllisesti ja niihin on reagoitava (vastattava), jottei ilmoituskanava menetä merkitystään (osittain T-07). Salausratkaisuista (I-12, I-13) esitetään seuraavat huomiot erityisesti koskien ohjelmistojen suojaamista verkko-hyökkäyksiltä. Kaiken teknisen suojaamisen osalta tulisi varmistua kuitenkin siitä, ettei tekninen ratkaisu rajoita käytettävyyttä tai työn tekemistä. Liiat rajoitukset johtavat helposti siihen, että käyttäjät keksivät itse kiertoteitä ja aiheuttavat mahdollisia vaaratilanteita (esim. tietojen ”tilapäinen” tallentaminen toiseen sijaintiin, järjestelmän toimintojen käyttäminen muuhun kuin tarkoitettuun toimintaan). Tietoturvallisuudesta ei tule tinkiä käytettävyyden vuoksi, mutta toimintojen täytyy tukea toisiaan. 5. Lopuksi Yleisesti ottaen Katakri 2020 (luonnos) on kannatettava kriteeristö yhteiskuntamme turvallisuuskulttuurin harmonisoimiseksi ja turvallisuustason parantamiseksi.
  
  Valtori
  
  Päivitetty:
  
  13.11.2020
  
  T-osio: Hallinnollinen tietoturvallisuus Yleiskommentit: Välillä puhutaan tietoturvallisuudesta ja välillä turvallisuudesta. Onko tämä tarkoituksenmukaista vai olisiko parempi käyttää vain yhtä termiä. Tietoturvallisuuden hallintajärjestelmä kattaa tiedon hallinnan ml. Fyysisen turvallisuuden, jossa tietoa käsitellään ja säilytetään. Esim. T05 ja T02 Johdantokappaleessa lause: ""Organisaation tulee varmistaa, että turvallisuusluokiteltuja tietoja koskevia velvoitteita noudatetaan myös tilanteissa, joissa tietoja käsitellään organisaation toimeksiannosta."" --> Olisiko tarpeen tarkentaa seuraavasti: ""Tiedon omistavan organisaation tulee varmistaa, että turvallisuusluokiteltuja koskevia velvoitteita noudatetaan myös tilanteissa, jossa tietoja käsitellään muun organisaation toimesta tiedon omistavan organisaation toimeksiannosta"" Osioiden kommentit: T-01 yhteisten palvelujen näkökulmasta eri organisaatioiden erilaiset tietoturvaperiaatteet pitää pystyä tarvittavilta osin harmonisoimaan. T-03 Toteutusesimerkki 3): "- analysoinnissa käytetään yleisesti tunnettua..". Ehdottaisimme yleisesti tunnettu- ei tee menetelmästä hyvää tai asianmukaista, joten poistaisimme sanan. Aikaisemmin oli terminä tutkitusti luotettava. Toteutusesimerkki 4): " …riittävästi asiantuntijoita". Ehdottaisimme "kontekstin kannalta asianmukaiset asiantuntijat" T-06 "Organisaatio on huomioinut turvallisuusluokiteltujen tietojen suojaamisen hätätilanteissa.". Hätätilanne termi on poikkeuksellinen ja vain kerran käytössä. Tulisiko se yhtenäistää vastaamaan dokumentissa muutoin käytössä olevaa termistöä? Olisiko syytä tarkentaa otsikkoa, ettei mene päällekkäin T-07 kohdan kanssa. T-07 Pitäisikö tässä yhteydessä olla myös maininta siitä, että organisaatiolla tulee olla ohjeistus ja menettely, jolla viranomaisyhteydenoton vaativasta tietoturvallisuuspoikkeamasta saadaan tieto toimivaltaiselle turvallisuusviranomaiselle. Eli menettelytapojen alle kohtana 2 d) Olisiko syytä tarkentaa otsikkoa, ettei mene päällekkäin T-06 kohdan kanssa. F-Osio: Fyysinen turvallisuus Yleiskommentit: Alustus on epäselvä sen suhteen, tuleeko turvallisuusalueiden ulkopuolisille tiloille määritellä vaatimuksia, huolimatta siitä, että niissä käsitellään turvallisuusluokiteltua tietoa (esimerkiksi etätyötä tehdessä). Osioiden kommentit: F-01 B-kohdan maininta turvallisuusluokitelluista tiedoista ei ole välittömästi yhdistettävissä fyysisen turvallisuuden kautta toteutettaviin toimenpiteisiin. Mikäli fyysisten turvatoimien tarkoituksena on edistää myös henkilöturvallisuutta, tulisi se ilmaista selkeämmin. F-02 2A-kohdan merkintä salassapitoperusteesta on tarpeeton, sillä turvallisuusluokitellussa asiakirjassa on jo merkitty salassapitoperuste, ja asiakirjaa tulee käsitellä ja säilyttää sen turvallisuusluokituksen mukaisesti riippumatta salassapitoperusteesta. Mikäli salassapitoperuste aiheuttaa asiakirjan turvallisuusluokituksen muutosta, tulee itse asiakirjan turvallisuusluokkaa korottaa, pikemmin kuin arvioida salassapitoperusteen vaikutusta. F-03 1. 1-kohdan lauserakenne on raskas ja haasteellinen, jonka seurauksena asiasisältö ei ole selkeästi tulkittavissa. 2. Yleistä-taulukossa käytetään termiä sensori, jolle on suomalainen vastine anturi. 3. Yleistä-taulukossa ilmenevien suositusten suhteuttaminen turvallisuusalueiden omiin suositustaulukkoihin ei ole ilmeistä ja ajoittain ristiriitaista. Esimerkiksi hallinnollisen alueen rakenteelliset turvallisuussuositukset ovat samaan standardiin kuuluvia, mutta niitä ei ole erikseen ilmaistu ja monitasoisen suojauksen suositusten noudattaminen hallinnollisen alueen turvaamiseksi johtaisi taloudellisesti kestämättömiin ratkaisuihin sillä niiden mukaisesti kaikkien turvallisuusalueiden tulisi olla n. murtosuojaluokka 3 tasoisia. 4. ”Turvatoimien tarpeellisuus tulee arvioida turvallisuusaluekohtaisesti, joten kaikkia fyysisiä turvatoimia ei sovelleta kaikissa tilanteissa ja kaikilla turvallisuusalueilla,” on käsitteellisesti ristiriidassa yleisten suositusten kanssa. 5. Yleiset suositukset ovat ylimitoitettuja muille turvallisuusalueille kuin turva-alueelle. Esitetyt suositukset, erityisesti esim. ikkunoiden saralta, vaikuttavat erityisen vaikeilta toteutettaviksi ilman suhteuttamista ympäristöllisiin tekijöihin esim. ikkunoiden kokoon ja sijaintikorkeuteen. RC3-luokituksessa ikkunoiden sijainti huomioidaan, mutta tässä KATAKRI:n versiossa rakenteet ja ikkunat on määritelty erikseen ja erillään toisistaan, johtaen mahdollisiin tulkintavaikeuksiin. F-04 1. Turvallisuusluokitellun tiedon käsittelyyn ja säilytykseen liittyviä päätelaitteiden luokitteluun liittyvää ohjeistusta ei ole tässä viitattu, mikä olisi suotavaa, mikäli tarkastelussa on vain F-osion katselmointi tai sen mukainen hankkeen toteutus. 2. Viite kohtaan F05.5 alueen valvontaan liittyen on epäselvä, sillä F05.5 ei sisällä vaatimuksia. F-05 F-05.1 1. Katso kommentti osioon F-03, kommentti 3. F-05.2 1. Kulunvalvontajärjestelmän ulkoisen palveluntarjoajan hyvää hallinnointitapaa ei ole määritelty esim. ISO-standardin mukaisesti. 2. Avainten säilytykseen liittyen mainitut kulunvalvonnalliset avainkaapit vaikuttavat rajoittavilta vaihtoehdoilta, on tarkennettava mikä kulunvalvonnan tarkoitus on tässä yhteydessä, esim. tunnistamiseen liittyvä vai muu, ja onko se korvattavissa muulla menetelmällä? F-05.4 1. Lisätiedoissa mainittu edellytys siitä, että äänieristysvaatimus koskettaa vain niitä alueita, joissa keskustellaan turvallisuusluokitelluista tiedoista, aiheuttaa ristiriitaisen käsityksen hallinnollisen alueen käyttötarkoituksesta ja siihen liittyvistä vaatimuksista. Suoraan tulkiten, ei ole havaittavissa syytä perustaa hallinnollista aluetta, mikäli siihen asetetaan lisävaatimuksia, kun tiedon käsittely on samoilla periaatteilla toteutettavissa turvallisuusalueen ulkopuolisessa tilassa (F-04:n käsittelytaulukkoa noudattaen). 2. Tarkoitetaanko lisätietojen suosituksilla sitä, että hallinnollinen alue tulisi jakaa tiedonsaantioikeusperiaatteiden mukaisesti tiimityöskentelytiloihin tai muihin vastaaviin? Tämä kohta on epäselvä. F-05.5 1. Mistä syystä hallinnollisen alueen vaatimuskohta on lisätty, jos vaatimusta ei ole? Kohdan F-05.5 käyttötarkoitus jää epäselväksi, vaikka siihen viitataan muissa kohdissa usein. Tulkinnasta riippuen jää käsitys, että tähän liittyvää vaatimusta ei ole tai sitä ei tarvitse noudattaa. F-05.8 1. Kohta 2, TL III tietoa sisältävän päätelaitteen säilytykseen liittyen, mitkä ovat turvallisuusluokan vaatimukset päätelaitteisiin liittyen. Tilanvalvonnassa viitataan kohtaan F-05.5 vaatimuksiin, vaikka ko. kohdassa mainitaan, että vaatimuksia tähän liittyen ei ole. 2. Kohta 3, millä tavalla pystytään käyttämään yhteiskäyttöisiä säilytysyksiköitä (esim. turvakaappeja) jos niissä on tarkoitus säilyttää useamman käyttäjän päätelaitteita? Esim. toimitilayhdyshenkilön toimesta ei kohdan mukaan voida hallinnoida ko. säilytysyksikköä, mikäli hänellä ei ole tiedonsaantioikeutta niihin päätelaitteisiin tai niissä säilytettäviin tietoihin, joita säilytysyksikössä säilytetään. Miten avainhallinta näihin säilytysyksikköihin on toteutettavissa, jos esim. yleisavaimella on pääsy yksikköihin? F-06 F-06.1 1. Yleistä kohdassa mainittu tiedon erillinen säilytystila on käsitteenä epäselvä – kuinka tätä sovelletaan esim. ristikytkentätilaan, joka sijaitsee erillisessä huoneessa turva-alueen sisällä? Tuleeko turva-alueen sisällä sijaitseva tila vahvistaa samalla tavoin kuin turva-alueen rajaavat rakenteet, mikäli siellä säilytetään tietoa? 2. Suositustaulukossa ei oteta kantaa ympäristöllisiin tekijöihin, esim. ikkunoiden sijaintikorkeuteen, joka on erityisen merkityksellistä, mikäli suositusstandardin minimivaatimus on P6B. Onko käytettävä suojauslasiluokka (murtosuojalasi) ainoa tähän tarkoitukseen soveltuva, tarkoitukseen soveltuva suojauslasiluokitukset käynnistyvät luokasta P1A lähtien. RC3 luokituksen mukaisesti P6B vaatimus päättyy 4 metrin korkeudessa sijaitseviin ikkunoihin, tulisiko nämä yhdistää taulukossa siten, ettei jää epäselväksi tuleeko ikkunoihin liittyvää vaatimusta soveltaa sijaintikorkeudesta huolimatta? Katso myös kommentit osioon F-03, kommentti 3 & 5. F-06.2 1. Toteutusesimerkissä käytetty termi ”luettelo” on käyttötarkoitukseltaan epäselvä – onko kyse kulkuoikeuksien henkilörekisteristä vai jostain muusta luettelosta? 2. Ulkoistetun kulunvalvontajärjestelmän ”hyvälle hallinnoinnille” ei ole esitetty suositusta tai vaatimusta, kuten ISO-standardi tai muu vastaava sertifiointi. F-06.4 1. Vaatimuskohdan 2 sekä 2 B viittaukset välittömään pääsyyn turvaluokiteltuihin tietoihin ovat ristiriidassa keskenään. F-06.5 1. Vaatimuksesta saa käsityksen, että menettelyohjeet olisi laadittava erikseen jokaista turva-aluetta varten, jopa mikäli niitä on useampia samassa toimitilassa – onko näitä mahdollista kattaa ylätason asiakirjalla, mikäli on, tähän kaivataan selkeämpää ilmaisua. F-06.6 1. Lisätiedoissa mainittu edellytys siitä, että äänieristysvaatimus koskettaa vain niitä alueita, joissa keskustellaan turvallisuusluokitelluista tiedoista, aiheuttaa ristiriitaisen käsityksen turva-alueen käyttötarkoituksesta ja siihen liittyvistä vaatimuksista. Katso kommentti kohtaan F-05.4, kommentti 1. 2. Tarkoitetaanko lisätietojen suosituksilla sitä, että turva-alue tulisi jakaa tiedonsaantioikeusperiaatteiden mukaisesti tiimityöskentelytiloihin tai muihin vastaaviin? Katso kommentti kohtaan F-05.4, kommentti 2. F-06.7 1. Tarkoitetaanko ilmaisujärjestelmän hallinnalla siihen liittyvien käyttösovellusten ja hallintajärjestelmien omistusta vai voiko hallinnan tulkita toteutuvan sopimuksellisesti, esim. hyödyntäen ulkoista palveluntoimittajaa teknisen pääkäytön toteuttamiseksi? F-06.10 1. Kohdasta 1 ei käy ilmi onko kyse vaatimuksesta vai toteamuksesta epäselvän lauserakenteen vuoksi. 2. Vaatimukset tiedon käsittelystä ja säilytyksestä turva-alueella, erityisesti liittyen säilytysyksiköiden käyttöön ovat ristiriidassa F-04:n taulukon ohjeistusten kanssa. F-08 F-08.3 1. Sovelletaanko kirjaamoon turvallisuusalueihin liittyviä vaatimuksia kansallisen tiedon vastaanottoon liittyen? Kohdassa 1 mainitaan vain kansainvälisesti turvallisuusluokiteltu tieto. I-osio: Tekninen tietoturvallisuus Yleiskommentit: Useissa dokumentin kohdissa on käytetty konditionaalia, jolloin ei ole selvää onko vaatimus pakollinen vai vain suositus. Käytännön soveltamisessa tämä aiheuttaa helposti epäselviä tilanteita. Eräitä termejä (esimerkiksi 'päätelaite', 'tietojärjestelmä', 'käyttöympäristö', 'tiedon käsittely-ympäristö') on mahdollista ymmärtää eri tavoin. Ehdotetaan sanaston koostamista ja termien tarkentamista näiden osalta. - T03 Mikäli eri organisaatioiden (yhteisten ympäristöjen ja palveluiden käyttäjät) tietoon kohdistamat riskit poikkeavat olennaisesti toisistaan ja mitoittavat toimenpiteen sen mukaan, niin yteisten palvelujen tuottaminen on haasteellista yhtenevillä vaatimuksilla - T09 Pitäisikö tämän käsitteen olla laajemmin - Palkeiden käyttämä - "palvelussuhde", joka kattaa "työsuhteen" lisäksi myös "virkasuhteen" - F04 'Päätelaite'-termi on otettu tietotorva-asetuksesta, mutta se ei määritelmällisesti avaudu; Valtori päätelaitepalveujen tuottajana ei jaa tätä määritelmää. Päätelaite-termin käyttö dokumentissa ei myöskään tue esitettyä määritelmää. Voisiko päätelaitteen määritellä tarkemmin/yleisesti ymmärrettävämmin 'laitteeksi' tai 'tiejenkäsittelylaitteeksi', joka voidaan kytkeä tietoverkkoon ja, jota henkilö käyttää työtehtäviensä hoitamiseen liittyvään sähköiseen tietojenkäsittelyyn" ...tai hakea määritelmä termipankista - F05.1 Hallinnollinen alue -kohdassa jää epäselväksi, voiko hätäpoistumistie kulkea hallinnollisen alueen kautta; tässä otettu kantaa F06-kohtaan kuuluvaan asiaan. - Liite II (Viranomaishyväksyntä-kohta): Tuleeko tämä ennakkohyväksyntä olla tehtynä ennen/jälkeen Tiedonhallintamallin muutosvaikutuksen arviointia? - Liite III (Riskienhallinnan rooli tuetuissa käyttötapauksissa): Yhteisten perustietotekniikkapalvelujen toteuttaminen eri riskinottohalukkuudet huomioiden ei ole mahdollista (tai ainakin hankalaa). Seurauksena tästä on, että yhteiskäyttöiset toimialariippumattomat palvelut tulee jatkossa toteutumaan "pienimmän yhteisen tekijä" mukaisesti. Johdantokappaleessa lause: "Katakria voidaankin käyttää sekä kansallisen että kansainvälisen turvallisuusluokitellun tiedon suojaamiseen" --> loppuun korjaus: "suojausten arviointiin." Johtantokappaleessa lause: "arviointilaitoksen tulee toimia Liikenne- ja viestintäviraston myöntämän arviointilaitoshyväksynnän ehtojen mukaisesti siten, että toimivaltaisen viranomaisen hyväksyntää edellyttävät vaatimuskohdat arvioi ja hyväksyy Liikenne- ja viestintävirasto" --> Onko nämä vaatimuskohdat listattavissa vai ratkaistaanko ne käyttötapausten perusteella? Osioiden kommentit: Tietoliikenneturvallisuus: I-01 "I-01 vaatimusta tarkentava lause: ""Saman turvallisuusluokan käsittely-ympäristöjä voidaan liittää toisiinsa ko. turvallisuusluokalle toimivaltaisen viranomaisen hyväksymän salausratkaisun avulla (esimerkiksi organisaation eri toimipisteiden ko. turvallisuusluokan käsittely-ympäristöjen yhteenliittäminen julkisen verkon ylitse)."" --> Tämän tyyppisillä esimerkeillä tuppaa olemaan vahva ohjaava vaikutus tulkintojen osalta. Kokemukseen perustuen voin todeta, että tätä esimerkkiä on noudateltu hyvin tarkkaan hyväksyttäviä toteutusmalleja arvioitaessa. Voisiko tätä tarkentaa siten, että myös samalle tasolle hyväksyttyjen eri organisaatioiden käsittely-ympäristöt ovat myös liitettävissä, tarvittaessa tietyin reunaehdoin)." I-01 I-01 vaatimusta tarkentava lause: "Käytännössä hallintaliikenne rajataankin lähes poikkeuksetta turvallisuusluokittain." --> Kuvattu käytännössä lähes poikkeukseton toimintamalli, mutta onko joku muukin malli hyväksyttävissä? Mikäli kirjaus jätetään tähän malliin se tulkitaan helposti ainoaksi hyväksyttäväksi toteutusmalliksi. I-01 I-01 vaatimusta tarkentava lause: "turvallisuuskriittisten alemman turvallisuusluokan ympäristöä käyttävien palvelujen" --> Mitä käytännössä ovat turvallisuuskriittiset alemman turvallisuusluokan ympäristöä käyttävät palvelut? Pitääkö tämä tulkita siten että TLIV käsittely-ympäristön päätelaitteella saa käsitellä vain turvallisuuskriittisiä alemman turvallisuusluokan palveluita? I-01 I-01 vaatimusta tarkentava lause: "edellyttäen että kytkennän tuomia riskejä pystytään muilla suojauksilla pienentämään turvallisuusluokalle IV riittävästi." --> Ovatko riittävät riskien pienentämisen keinot edellä mainittuja "erillen sisältöä suodattava välityspalvelin" + palomuuri? ja optiona jäljempänä mainitut muut mahdolliset suojaukset (esim. päivitykset, palvelunestosuojaus). I-01 "I-01 vaatimusta tarkentava lause: ""eri turvallisuusluokkien ympäristöihin voidaan toteuttaa toimivaltaisen viranomaisen hyväksymillä, riittävän turvallisilla yhdyskäytäväratkaisuilla"" --> onko ""toimivaltaisen viranomaisen hyväksymä"" ja ""riittävän turvallinen"" yhdyskäytäväratkaisu sama asia? Voiko olla joku muu yhdyskäytäväratkaisu?" I-01 "I-01 vaatimusta tarkentava lause: ""Toimivaltainen viranomainen voi tapauskohtaisesti hyväksyä myös turvallisuusluokan III käsittely-ympäristön fyysisen kytkemisen erikseen tarkastettuun ja hyväksyttyyn verkkoon/järjestelmään."" --> Onko tämä tarkennus riittävä aiemman kommentin (ks. rivi 9) kattamiseksi." I-01 I-01 vaatimusta tarkentava lause: "[fyysisesti eristetty verkko/työasema] - [palomuurilaitteisto/-ohjelmisto] – [turvallisuusluokalle hyväksytty salauslaite] - [palomuurilaitteisto/-ohjelmisto] - [Internet] – [palomuurilaitteisto/-ohjelmisto] - [turvallisuusluokalle hyväksytty salauslaite] - [palomuurilaitteisto/-ohjelmisto] - [fyysisesti eristetty verkko/työasema]. --> voisiko tämän visualisoida, kuten muissa osiossa tietyt toimintamallit on visualisoitu I-01 I-01 vaatimusta tarkentava lause: "Vastaavilla järjestelyillä voidaan toteuttaa myös turvallisuusluokan II mukainen ratkaisu." --> olisiko tarpeen tarkentaa että kahden TLII ympäristön yhteenliittäminen voidaan toteuttaa näin ja edellyttäen että tiedonsiirron salausratkaisu on hyväksytty? I-01 I-01 vaatimusta täydentävä kohta C1. Tarkentava kysymys: Tarkennustarve, voiko yhdyskäytäväratkaisun kautta hypätä usean TL -tason yli? (esim. TLIV --> Yhdyskäytäväratkaisu --> TLII) vai pitääkö jokaisen TL -tason välissä olla erillinen yhdyskäytäväratkaisu? I-01 I-01 vaatimusta täydentävä kohta C2. "Turvallisuusluokan III tiedon käsittely-ympäristöstä voidaan siirtää matalamman turvallisuusluokan tietoa matalamman turvallisuusluokan ympäristöön sisältösuodatusratkaisun kautta." --> koskeeko tämä vain TLIII ympäristöä? Miten TLII ympäristöstä voi viedä tietoa alemman tason ympäristöön? I-01 "I-01 vaatimusta täydentävä lause kohdassa C2: ""Sisältösuodatusratkaisun käyttö edellyttää tiedon tunnistamista ylemmän tason ympäristössä,"" --> onko tämä tunnistaminen toteutettava yhdyskäytäväratkaisulla, vai voiko tämän toteuttaa osana sovelluksen toimintalogiikkaa?" I-01 I-01 vaatimusta täydentävä lause kohdassa D: "Päivityspalvelimelta voidaan sallia keskitetty turvapäivitysten ja haittaohjelmatunnisteiden jakelu tietyin rajauksin." --> Mitä "tiettyjä rajauksia" tässä tarkoitetaan? I-01 I-01 vaatimusta täydentävä lause: "Kasautumisvaikutuksen tapauskohtainen arviointi" --> Arvioiko tiedon omistaja kasautumisvaikutukset tapauskohtaisesti? Vaikuttaako tarkastuslaitoksen arviointi kasautumisen arviointiin? I-01 I-01 vaatimusta täydentävä lause: "Kun kohteen keskeisen tietovarannon turvallisuusluokka tulkitaan kasautumisvaikutuksesta johtuen yksittäisten tietoalkioiden tasoa korkeammaksi, tulisi tietovarannon määritellyt suojausmenetelmät toteuttaa korkeamman tason vaatimusten mukaisesti." --> Konditionaali antaa ymmärtää, että ei olisi pakollista? I-01 "I-01 vaatimusta täydentävä lause: ""Onkin huomioitava, että kasautumisvaikutuksen seurauksena yhdellä luokalla noussut tietovarannon turvallisuusluokka ei edellytä hyväksyttävää yhdyskäytäväratkaisua tietovarannon (esim. TL III) ja päätelaitteiden (esim. TL IV) välille."" --> Voiko tämä johtaa sellaiseen, ristiriitaiseen tilanteeseen, että TLIV tietovaranto kasautumisvaikutuksen johdosta tulee sijoittaa TLIII tietojenkäsittely-ympäristöön, mutta käyttöyhteys olisi mahdollista toteuttaa ilman yhdyskäytäväratkaisua? Vai onko tässä tarkoitus vakioida ""TL4+"" taso, muuten noudatetaan TLIV vaatimuksia, mutta em. kohtien mukaisesti TLIII vaatimusten mukaan (fyysinen turvallisuus, I-13, I-10, I-11 ja I-06). Kokemukseen perustuen arvelen, että tämä kohta tulee aiheuttamaan merkittäviä tulkintahaasteita yhteisten, laajojen tietojenkäsittely-ympäristöjen osalta." I-01 I-01 vaatimusta täydentävä lause: "Kasautumisvaikutuksen seurauksena turvallisuusluokan III tietovarantojen hallintaratkaisuissa tulee lisäksi erityisesti huomioida, että hallintaan käytettävät päätelaitteet ovat luotettavasti eroteltuja Internet-kytkentäisistä verkoista." --> Riittääkö "luotettavaan erotteluun" TLIV vaatimusten mukaisesti toteutettu päätelaite? Vai tuleeko kasautumisvaikutuksen vuoksi TLIII luokiteltua tietovarantoa hallinnoida TLIII vaatimusten mukaiselta päätelaitteelta? I-02 - Mitä tarkoittaa "…hankekohtainen työasema- ja Bpalvelinerottelu"? Voidaanko lause: "Tietoliikenneverkon jakaminen ko. turvallisuusluokan sisällä erillisille verkko-alueille (vyöhykkeet ja segmentit) voi tarkoittaa esimerkiksi hankekohtaista työasema- ja palvelinerottelua. Verkkoalueiden" --> Voidaanko tähän tarkentaa "tarkoittaa organisaatiolle tarkoituksenmukaista ja perusteltua työasema- ja palvelinerottelua. Esimerkiksi hankekohtaisesti". I-02 I-02 vaatimusta täydentävä lause: "voi toteuttaa turvallisuusluokan IV verkon ulkorajalla esimerkiksi siten, että kaikki sisäänpäin tulevat yhteydenavausyritykset estetään ja ulospäin lähtevät yhteydet rajataan vain välityspalvelimen kautta tulevaan web-selailuun sekä sähköpostiliikenteeseen" --> hyvin rajoittava toteutusesimerkki, riskinä että tämä tulkitaan ainoaksi hyväksyttäväksi ratkaisuksi, olisiko tarpeen esittää että yhteydet rajataan vain "käyttötarpeeseen perustuviin yhteyksiin", välityspalvelimin ja palomuurein suojattuna. I-03 I-03 vaatimusta täydentävä lause: "riittävä tarkastustiheys voi olla esimerkiksi vuosineljänneksittäin tai puolivuosittain." --> Kuvattu "riittävä" .. "voi olla" aikavälit helposti tulkitaan hyväksyttävissä oleviksi vaatimuksiksi. Esitän että ensisijaisesti suojattavan tiedon omistaja arvioi sovellettavan tarkastusvälin perustuen suojattavan tiedon suojaustarpeeseen ja mahdolliseen ulkoisten tahojen erityiseen mielenkiintoon. I-04 I-04 vaatimusta tarkentava lause: "Matalamman tason ympäristön hallinta voi tietyissä erityistapauksissa olla mahdollista ylemmän turvallisuusluokan hallintaympäristöstä käsin" --> Mitä nämä "tietyt erityistapaukset" ovat? I-04 Esitän tarkennettavaksi kasautumisvaikutukseltaan luokitusta korkeammaksi nousseen tietovarannon hyväksyttävissä oleva hallntakäytännöt sekä TLII että TLII tasoille. Onko hyväksyttävä toteutusmalli siis siten että kasautumisvaikutuksen vuoksi TLIII luokitellun järjestelmän on toteutettava TLIII päätelaitteella, mutta yhdyskäytäväratkaisun kautta (kun oletettavasi se kyseinen järjestelmä sijaitsee TLIV tietojenkäsittely-ympäristössä). I-04 "I-04 vaatimusta täydentävä lause: ""Ylemmän turvallisuusluokan ympäristön hallinta ei lähtökohtaisesti ole hallintaliikenteen turvallisuuskriittisestä luonteesta johtuen mahdollista matalamman turvallisuusluokan ympäristöistä."" --> Kun tämä ei ""lähtökohtaisesti"" ole mahdollista, niin onko kuitenkin joissakin tapauksissa seuraavan esimerkkitapauksen lisäksi?" Tietojärjestelmäturvallisuus: I-06 I-06 vaatimusta täydentävä lause: "käyttäjien pääsy- ja käyttöoikeudet katselmoidaan säännöllisin väliajoin, esim. 6 kuukauden välein." --> voisiko tarkentaa "organisaation tiedonsuojaustarpeet huomioiden tarkoituksenmukaisin väliajoin"? I-06 "I-06 vaatimusta täydentävä lause: ""Usein käytettynä valvontamekanismina on myös se, että kriittiset ylläpito- ja vastaavat toimet vaativat kahden tai useamman henkilön hyväksynnän (""two man rule"")."" --> No mitenkäs tämä ""Usein käytetty mekanismi"", onko tämä nyt siis vaatimus, suositus vai toteamus?" I-06 I-06 vaatimusta täydentävä lause: "Eri omistajien tietojen erottelumenetelmät jakautuvat kolmeen pääluokkaan." kohdat a ja b. --> Kuka arvioi erot toteutustavoissa "Loogisen tason erottelun" (kohta a) ja "Luotettavan loogisen erottelun" (kohta b) välilllä? Onko vain b -kohdassa kuvattu esimerkki hyväksyttävissä oleva "luotettava looginen erottelu"? I-06 I-06 vaatimusta täydentävä kohta: "Henkilöiden tunnistaminen:" alakohta 6: "Todennus tehdään vähintään salasanaa käyttäen" --> Adverbi "vähintään" antaa ymmärtää että autentikaatiomenetelmät ovat sijoitettavissa paremmuusjärjesteykseen, mutta mitä muita voidaan käyttään, jotka ovat jotain parempaa kuin "vähintään salasana"? I-07 "- Tässä voitaisiin viitata kyberturvakeskuksen määritelmiin ja menetelmiin https://www.kyberturvallisuuskeskus.fi/fi/toimintamme/saantely-ja-valvonta/sahkoinen-tunnistaminen" I-08 "tietojärjestelmällä tarkoitetaan… laitteita" I-08 I-08 vaatimusta tarkentavat tekstikappaleet alkaen: "Turvallisen ohjelmistokoodin tekeminen on osoittautunut haastavaksi" ja jatkuen "Järjestelmät ovat yleensä tulvillaan ominaisuuksia." --> Onko tässä kohdassa vähän ylitsevuotavaa narratiivia ohjelmistokoodiin ja järjestelmien ominaisuuksiin liittyen? Teksti ei tue vaatimusten tarkennusta eikä vaatimusten tulkintaa. I-08 I-08 vaatimusta tarkentava lause: "Turvallisuusluokkien III-II käsittely-ympäristöissä vaatimus voidaan toteuttaa siten, että kohtien 1-4 lisäksi kovennuksiin käytetään useita kovennusohjeita ja kovennusohjeiden toteutuksen tiukkuutta kiristetään." --> Onko vaatimus siis lähtökohtaisesti sama. Erityisesti, jos on julkiseen verkkoon liitetty TLIV palvelu/järjestelmä, niin kovennusten rooli korostuu erityisesti. Verrattuna siihen että on hyvin rajattu ja ulkoisilta yhteyksiltä suojattu TLIII käsittely-ympäristö, jossa muilla keinoin (esim. fyysinen suojaus) voidaan lieventää kovennusvaatimuksia. I-09 I-10 I-10 vaatimusta täydentävä lause: "Kattavuusvaatimuksen voi useimmin toteuttaa siten, että varmistaa, että ainakin työasemien, palvelinten, verkkolaitteiden ja vastaavien lokitus on päällä." --> Riittääkö tämä oikeasti vastaamaan vaatimuskohtaan 2 ja 3? (esim." tietojen luovutuksista kerätään tarpeelliset lokitiedot" ja "tietojen käytön ja luovutuksen seuranta") Käyttöturvallisuus I-17 I-17 vaatimusta tarkentava lause: "Turvallisuusluokkien III tai II kiinteää tietoverkkoa ei voi ulottaa hallinnolliselle alueelle." --> Hyvä ja selkeä vaatimus. Vaikutus turvallisuusviranomaisten toimintaan saattaa aiheuttaa merkittäviä toiminnallisia ja taloudellisia vaikutuksia. Voi olla että tarpeen tulee arvioida, joitakin kompensoivia kontrolleja, joilla TLIII verkkoon liittymisen voi mahdollistaa hallinnolliselta alueelta. I-18 I-18 vaatimus: "6) Turvallisuusluokiteltuja tietoja ei avata matkalla eikä lueta julkisilla paikoilla." --> Pitääkö tämä pystyä teknisesti estämään? Riittääkö tietojen avaamisen havaitseminen? Riittääkö tähän käyttäjien ohjeistus ja koulutus?
  
  Patria Oyj, Yritysturvallisuusyksikkö/Patria Oyj sekä osa konsernin tytäryhtiöistä Suomessa.
  
  Päivitetty:
  
  13.11.2020
  
  Kiitos mahdollisuudesta tutustu uudistuneeseen Tietoturvallisuuden arviointityökaluun (Katakri 2020) ja antaa siitä kommentit ennen työvälineen lopullista julkaisua. Auditointityökalun säännöllinen päivittäminen vastaamaan kansallisen lainsäädännön ja kansainvälisten velvoitteiden muutoksia sekä yhteiskunnan ja yritysmaailman digitalisoitumiskehitystä ja sen haasteita on erittäin tärkeätä. Ajantasainen koonti tietoturvan (vähimmäis)vaatimuksista tukee ja helpottaa tietoturvan kehitystyötä yrityksissä. Auditoinnin kohderyhmän edustajien osallistumista nykyistä vahvemmin uudistamistyötä koordinoivassa ohjausryhmässä ja alatyöryhmissä kannattaisi jatkossa harkita. Työvälineen osa-aluejako on looginen ja selkeä. Vaatimukset on pyritty kuvaamaan siten, että ne mahdollistavat erilaisia käytännön toteutustapoja jäännösriskien minimoimiseksi hyväksyttävälle tasolle. Lisätiedot ja toteutusesimerkit pyrkivät kuvaamaan hyväksyttävän suojauksen vähimmäistason useimmissa ympäristöissä. Monilta osin tässä on onnistuttu varsin hyvin ja esimerkiksi Teknisen tietoturvan vaatimuksissa on Lisätiedot-osiossa selvästi aikaisempaa paremmin perusteltu vaatimusta, teemaan liittyvää uhkaa sekä täydennetty ja tarkennettu suojaukseen liittyviä toteutusesimerkkejä. Se, että dokumentissa kuvattua vähimmäissuojasta voidaan tapauskohtaisella riskiarvioinnilla joutua kiristämään lisäsuojauksella, saattaa kohdeyrityksen näkökulmasta tehdä tarkastusprosessista hankalasti ennakoitavan ja vaikeuttaa erityisesti sen aikatauluttamista. Kuvausten ja perusteiden vahvistumisen myötä esitys on pidentynyt, mikä ei sinänsä ole ongelma. Teksti kaipaa joiltakin osin selkeyttämistä luettavuuden parantamiseksi. Esitystä voisi havainnollistaa kaaviokuvin tai taulukoin niissä tilanteissa kuin se on mahdollista (esim. F-04 -vaatimuksessa hyvä taulukkoesitys). Esimerkiksi liitteen III kuvaus Katakrin tarkastusmallista ja riskienhallinnasta on tiivis, mutta hieman vaikeaselkoinen. Eniten hämmennystä ja keskustelua Patrialla on aiheuttanut F-04, I-17 ja I-18-osoista löytyneet erilaisia tulkintoja tietojen etäkäytöstä ja -hallinnasta mahdollistavat kohdat. Patrian osa-aluekohtaiset huomiot on esitetty lausunnon liitteessä 1 (excel-tiedosto).
  
  Oinonen Mikko, Suunnittelija, Varsinais-Suomen pelastuslaitos
  
  Päivitetty:
  
  12.11.2020
  
  Varsinais-Suomen pelastuslaitos kiittää mahdollisuudesta lausua KATAKRI 2020 -auditointikriteeristöön ja toteaa lausuntonaan seuraavaa: Yleisesti toteamme KATAKRI 2020 -auditointikriteeristön päivityksen olevan tervetullut. Auditointikriteeristö on yleisiltä osiltaan kannatettava ja vaatimusten mukaisuudet ovat nykyaikaiset. Yksittäisiin vaatimuskohtiin lausumme seuraavaa: T-02: Tietoturvallisuuden tehtävien ja vastuiden määrittelyssä tulisi myös määritellä vastuuhenkilölle riittävä työajan resursointi, jotta tietoturvatyön kehittäminen ei kärsi. Tällä myös estetään se, että tietoturvatyötä ei tehdä varsinaisen oman työn ohella, vaan että tehtävään nimetyllä henkilöllä olisi ajankäytöllisesti riittävät mahdollisuudet suorittaa tietoturvatyö menestyksekkäästi. T-11: Salassapito- tai vaitiolositoumus tulisi ulottaa jokaiseen salassa pidettävää tai turvallisuusluokiteltua tietoaineistoa käsiteltävän henkilöön työsuhteen laadusta riippumatta, joka käsittelee työtehtävässään edellä mainittuja tietoaineistoja, jotta organisaatiolla on olemassa riittävä dokumentaatio palveluksessaan työskentelevien henkilöiden sitoutumisesta vaitiolovelvollisuuteen. Samoin vaitiolovelvollisuus- ja salassapitositoumus tulee ulottaa koskemaan organisaation palveluntuottajien henkilöstöä kuten siivoajia sekä huoltohenkilöstöä, mikäli näille henkilöille on myönnetty kulkuoikeus hallinnolliselle tai turva-alueelle. Luokiteltua aineistoa ei tule käsitellä, mikäli tilassa on ulkopuolisia henkilöitä läsnä. T-13: Henkilöstöluettelon pitäminen tulee ulottaa myös TL I -tason asiakirjoihin. Osa-alue F: Fyysinen turvallisuus. Johdanto-osuudessa tulisi huomioida myös julkiset alueet osana fyysisten tilojen kehäsuojausta. F-03: Alakohta h on kirjattu listaukseen kahdesti, kameravalvonta käsitellään alakohdassa e kertaalleen. F-04: Taulukko tulisi suunnitella lopulliseen versioon luettavuuden parantamiseksi siten, että taulukon otsikot toistuvat jokaisella sivulla. Luettavuuden helpottamiseksi termi ”päätelaitteessa” tulisi muuttaa muotoon ”sähköinen aineisto”. TL III -paperinen aineisto, säilytys turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa ei ole hyväksyttävissä, koska eri toimijoilla voi muodostua erilainen näkemys soveltuvasta säilytysratkaisusta. Kansainvälisessä aineistossa säilytysratkaisun tyyppi on sanottu suoraan. Tämä johtaa tilanteeseen, jossa kriteeristön tulkinnasta johtuen eri tietoaineistolle voi olla erilainen säilytysratkaisu eri viranomaisissa, joka voi aiheuttaa luottamusongelmia tietoaineiston siirtämisessä toimijoiden välillä. Säilytysratkaisun tulisi olla selkeästi kuvattu sekä yhtenevä kansainvälisen tietoaineiston osalta, mikäli suinkin mahdollista. Taulukossa sekä vaatimuksessa on huomioitava tarkemmin etätyöskentely turvallisuusviranomaisten osalta kenttäolosuhteissa. Esimerkkinä pelastustoimen etäkäyttö tilannepaikalla, jolloin aineistoa joudutaan säilyttämään sekä käsittelemään esimerkiksi johtoautossa paperimuodossa. Taulukon mukaan TL III sähköistä aineistoa voidaan säilyttää vaatimukset täyttävässä laitteessa sekä lisäehtojen täyttyessä. Vaatimuksessa viitataan kohtaan F-05.5 valvotun tilan osalta, jonka mukaan alue ja ovet voidaan varustaa tunkeutumisen ilmaisujärjestelmällä. Koska TUVE-työasema täyttää TL III aineiston käsittely- ja säilytysvaatimukset, johtaa tämä pelastustoimen osalta kustannusten rajuun nousuun haja-asutusalueiden paloasemilla TUVE-työasemien yleistyessä, mikäli vaatimus halutaan täyttää miehittämättömillä asemilla täydellisesti. Vaihtoehtoisesti tällaisella vilkkaalla haja-asutusalueen paloasemalla jouduttaisiin investoimaan turvapusseja useita satoja kappaleita. Turvapussin vaikutusta tietoaineiston varastamiseen ei kuitenkaan voida pitää riittävänä suojatoimenpiteenä, koska pussi ainoastaan kertoo käsittely-yrityksestä. Mikäli tilaan tunkeudutaan ja laite varastetaan, ei pussi itsessään estä varkautta. Vaatimuksessa tulisikin kiinnittää enemmän huomiota aluesuojauksen kokonaisuuteen sekä tilan kulunvalvontaan ja pääsyoikeuksien hallintaan. On myös huomioitava, että vaikka työasema täyttäisikin TL III -aineiston säilytysvaatimukset, on turvatoimet mitoitettava laitteessa tosiallisesti säilytettävän aineistoluokituksen mukaan. Lisäksi toteamme, että vaatimuksessa F-05.5 viitataan tilanteeseen, jossa alueella säilytetään turvallisuusluokiteltua tietoaineistoa lukittavassa toimistokaapissa. Tässä siis viitataan toimistokaappiin hyväksyttävänä säilytysratkaisuna, jota kohdan F-04 taulukossa ei erikseen täsmennetä. F-05.8, kohta 1: TL IV tietoa tulee säilyttää lukitussa toimistokalusteessa, mikäli mahdollista. Vaatimuksen tulee mahdollistaa TL IV-aineiston tallentamisen vaatimukset täyttävän työaseman säilyttäminen tilassa, mikäli tilan turvallisuusratkaisut tukevat laitteiston säilyttämistä. F-05.8, kohta 2: TL III -aineistoa sisältävä päätelaite voidaan säilyttää hallinnollisessa tilassa, mikäli säilytys tapahtuu lukitussa toimistokalusteessa turvapussissa. Viittaamme kohdan F-04 taulukossa nostettuun ongelmaan työskentelyn mahdollistamisesta sekä säilytyksen ongelmallisuudesta käytettäessä turvapusseja sekä lukitun toimistokalusteen määrittelyn riittämättömyyttä. Sama vaatimus ilmenee myöhemmin kohdassa I-17, mutta huomattavasti lievemmin sanamuodoin, joka on pelastustoimessa paremmin toteutettavissa. Tämä kohta ei ota huomioon tiedon salausta osana muita tiedon turvallisuusratkaisuita. Kohdassa I-17 mahdollistetaan päätelaitteen säilytys turva- ja hallinnollisen alueen ulkopuolella riskiarvion perusteella ja sillä edellytyksellä, että tietoaineisto on salattu. Lisäksi nostamme esille, että kohdassa F-05.8 ilmaistaan selkeänä vaatimuksena se, että tilan on oltava murtohälyttimen valvonnassa kohdan F-05.5 vaatimuksen mukaisesti. Kuitenkin kohta F-05.5 ei velvoita organisaatiota suoraan varustamaan tilaa murtohälyttimellä kuin ainoastaan riskiarvioon perustuen. Tämä ristiriita on ratkaistava lievempien vaatimuksien, F-05.5:n ja I-17:n mukaiseksi. F-05.8, kohta 3: Kohdasta ei ilmene riittävän tarkasti, ovatko kaikki kohdat velvoittavia vai riittääkö vaatimuksen täyttämiseksi vain yksi ratkaisu listatuista viidestä. Kohtaa on tarkennettava selkeämpään muotoon. F-06.2: Vaatimuksen termi ”kulkulupien” tulisi selkeyden vuoksi muuttaa muotoon ”henkilökohtaisilla kulkuoikeuksilla”. Kaksoistunnistuksen tulisi olla pakollinen vaatimus turva-alueella alueella säilytettävien laitteiden ja tietoaineistojen luokituksesta johtuen. Kaksoistunnistus voidaan toteuttaa kulkuoikeustunniste + PIN yhdistelmällä tai muulla sellaisella ratkaisulla, että henkilön saapuminen ja poistuminen tilasta voidaan tarvittaessa todentaa jälkikäteen. I-01: Vaatimuksessa todetaan, että TL III -tietojenkäsittely-ympäristössä työskennellessä tulisi mahdollistaa internetin tai muiden alempien turvallisuusluokkien tietojenkäsittely-ympäristöjen toteuttaminen erillisellä työasemalla. Vaatimus tulee voida toteuttaa vaihtoehtoisesti esimerkiksi virtualisoiduilla ratkaisuilla, joissa työskentely tapahtuu eristetyssä sovelluksessa, jolla ei ole suoraa liityntäpintaa tai yhteyttä TL III -tietojenkäsittely-ympäristöön tai siellä säilytettäviin tai käsiteltäviin tietoaineistoihin. I-07, kohta 6: Järjestelmän tulee tukea pitkän salasanalauseen käyttöä. I-17: TL III aineisto esitetään säilytettäväksi turva-alueen kassakaapissa taukojen ajaksi. Viittaamme jälleen kohdan F-04 kohdassa olevaan yleiseen vaatimukseen ”lukitusta toimistokalusteesta”. Vaatimusta tulee tarkentaa koskemaan joko lukittavaa toimistokalustetta (jonka vähimmäisvaatimukset on myös tarkennettava), kassakaappia tai muuta vastaavan turvallisuuden säilytysratkaisua. Lisätietoja pelastuslaitoksen lausuntoon liittyen antaa tarvittaessa suunnittelija Mikko Oinonen, mikko.oinonen@pelastustoimi.fi / 040 615 3036 Turussa 11.11.2020, Jari Sainio Pelastusjohtaja
  
  Ulkoministeriö, Tietohallinto
  
  Päivitetty:
  
  12.11.2020
  
  Ulkoasiainhallinnon näkökulmasta on oleellinen asia, että Katakri-kriteeristö elää ajassa ja että sen sisältöä aika ajoin tarkastellaan. Kriteeristön kehitystyössä on oleellista huomioida niin kansallisen kuin kansainvälisen turvallisuusarviointikonseptin kehittyminen. Kansallisella tasollahan lähestymistapa on nykyisin kehittynyt riskiarvioperustaiseen suuntaan. Hallinnollinen, fyysinen ja tekninen sektorikohtainen tarkastelumalli on entistä enemmän integroitumassa. Vastaavasti tulee huomioida, että yksittäisten asiakirjojen ja rekisterien luokittelusta on kasvavan integraation ja yhteentoimivuuteen liittyvien tarpeiden korostumisen myötä tapahtumassa siirtyminen laajempien tietoaineistokokonaisuuksien suojaamiseen. Tieto kumuloituu määrän kasvaessa ja muodostaa monessa tapauksessa enemmän kuin osiensa summan myös turvaamisnäkökulmasta. Luonnos on laajuudeltaan 110 sivua, joten yksityiskohtia on runsaasti. Tarkastelussa ei noussut esille aihealuetta, joka puuttuisi tarkastelusta. Luonnokseen on kerätty useampien linjausten (lait, asetukset, EU-säädökset, valtiovarainministeriön ja muiden toimivaltaisten toimijoiden linjaukset) sisältämiä vaateita yhdeksi kokonaisuudeksi. Detaljitaso näistä jää luonnollisesti luonnoksen ulkopuolelle, sillä muuten paisuisi entisestään. Esityksen yksi arvo on, että siinä on koottuna erirakenteisia määräyksiä yhteen malliin, jota vasten on mahdollista tarkastaa eri tietoturvallisuuteen liittyviä tekijöitä. Yleisenä havaintona 2020 kokonaisuus on edeltäviin versioihin verrattuna parempi, koska se on sisällöltään vähemmän tulkinnanvarainen. Erityisesti F- ja I-osioissa on tehty paljon tarkennuksia yksityiskohtiin. Seuraavassa on listattuna joitakin yksityiskohtaisempia havaintoja ja kommentteja luonnokseen: Käytetystä termistöstä; säilyttäminen on pitkäaikaisempaa hallussapitoa. Arkistolaissa säilyttämistä käytetään lähes arkistoinnin synonyyminä. Luonnoksessa mainittu TL IV:n säilyttämiskielto turvallisuusalueen ulkopuolella tulee ilmeisesti suoraan turvallisuusluokitteluasetuksesta. Asetuksessa säilyttäminen ja arkistointi ovat puolestaan eri toimintoja. Mikäli mahdollista termien käyttöä tulisi selkeyttää, jotta virheellisiltä tulkinnoilta vältytään. Luonnokseen on kirjattu, että TLIV-tietoja ei olisi lupa säilyttää paperiasiakirjana turvallisuusalueiden ulkopuolella. Tämä muistuttaa linjauksena joidenkin kansainvälisten ohjeistusten sisältämää käytäntöä. Esimerkiksi työmatkoilla ja etätöissä käytännön noudattaminen on vaikeaa jos ei mahdotonta. Oheistuksessa tulisi määrittää myös toimintatavat tilanteissa, joissa luokiteltua tietoa säilytetään sähköisessä muodossa siirrettävällä muistivälineellä. Asetuksessa todetaan myös, että jos TL IV -tieto on sähköisenä turvallisuusalueen ulkopuolella, niin laitteessa on oltava salaus. Eli jos sähköisessä muodossa olevaa tietoaineistoa on lupa viedä ko. alueen ulkopuolelle, miksi ei myös paperista. Molemmat tallennusmuodot on luonnollisesti suojattava ulkopuolisilta. Myös valtioneuvoston kanslian salassa pidettävien aineistojen käsittelymääräyksen mukaan etätyössä voi käsitellä TL IV –aineistoja, kunhan sivulliset eivät pääse niihin käsiksi. Korona-aikana kotona säilytettävät TL IV –aineistot toki lähentelevät kiellettyä säilyttämistä. Kansainvälisen turvaluokitellun tiedon käsittelystä on edelleen todettu, että sen viemisestä turva-alueen ulkopuolelle tulisi ilmoittaa kirjaamoon. Menettelytapana tämä vaikuttaa käytännölle vieraalta ja hankalalta. Aineistokäsittelyhän tapahtuu joka tapauksessa virkavastuulla. Erityisesti luonnoksen F-osiota on kehitetty edellisestä tuomalla esitykseen yksityiskohtaisempia vaatimuksia kuin aiemmassa, jossa oltiin tyydytty usein viittamaan esimerkein standardeihin. Tämä uudistus tosin voi aiheuttaa, että joitain vaatimuksia voi olla vaikea täyttää, jos vaikkapa edellytettyjen turvalaitteiden valmistajia on rajatusti markkinoilla. F-osiossa on edelleen kuvattu myös kansallisen TLII- ja TLIII -tietojen säilytysvaatimukset ne täyttävällä päätelaitteella turva-alueella. Sen sijaan EU-C –tason tiedon säilytyksessä on huomioitu vain paperimuotoinen säilytys kassakaapissa tai holvissa. tallennusmetodiikan tulisi luonnollisesti olla sama tallennusmuodosta riippumatta. I-osion johdannossa on todettu, että tuetuissa käyttötapauksissa toimivaltaisen viranomaisen hyväksyntä edellyttää tyypillisesti, että sähköinen käsittely-ympäristö on kokonaisuudessaan Suomen lainsäädännön alaisuudessa. Ehtona tämä on tiukka ja tuottaa ongelmia esimerkiksi kansainvälisten järjestelmäauditointien suhteen (kuten EU-järjestelmiin liittyvät kansalliset järjestelmät kytköksineen).
  
  Huld Oy, Nykänen Riku
  
  Päivitetty:
  
  11.11.2020
  
  Yleisesti olisi hyvä kuvata merkittävimmät muutokset 2015 versioon verrattuna, joilla voi olla vaikutusta organisaatioiden aiemmin toteuttamiin kontrolleihin. T-12 kohta 2) Onko merkityksellistä kouluttaa kaikkia tietoon kohdistuvia uhkia henkilöstölle? Riskiarvioinnissa voi olla tunnistettuna hyvinkin yksityiskohtaisia teknisiä uhkaskenaarioita, joita järjestelmien käyttäjien ei ole olennaista tietää, mutta vaatimuksen tässä muodossa pitäisi kuitenkin kouluttaa heille. Parempi sanamuoto olisi esimerkiksi: "Turvallisuusluokiteltuun tietoon kohdistuvat ja henkilön tehtävien kannalta keskeiset uhat sekä ajantasaiset ohjeet (vrt. T-04) on koulutettu henkilöstölle." F-02 Sarakkeessa "Lähde (906/2019 ja/tai 1101/2019)" viittaus kohtaan 3), jota ei kuitenkaan ole. F-03 kohta listätietoja: taulukosta puuttuu kassakaappia kevyempien säilytysyksiköiden (murtosuojakaappien) luokitus, jota voi käyttää kustannustehokkaammin TL III/IV -materiaalin säilytykseen. Keskeinen vaatimusstandardi on ilmeisesti EN 14450, jonka S2 -tason kaapit ovat aiemmin kelvanneet ST III -materiaalin säilytykseen turvatilan sisällä. Esim kohdassa F-06.10 viitataan säilytysratkaisuihin. F-06.2 Vaatimuksen mukaisesti turva-alueen rajalla kulkua sisään ja ulos tulee tulee valvoa kulkulupien tai henkilökohtaisella tunnistamisella. Käytännössä vaatimus on hyvin monimuotoisesti tulkittavissa, koska voidaan tulkita, että henkilön kulku turva-alueelta ulos täytyy tunnistaa. Kuitenkin toteutusesimerkissä todetaan, että kulku tilaan pitää olla myöhemmin todennettavissa. Sanamuotoa olisi hyvä täsmentää siten, että vaatimuksesta selviää todellinen tarve tunnistamiselle eri tilanteissa (vrt F-05.2). I-09 Toteutusesimerkki julkisista verkoista eriytettyihin ympäristöihin ehdotetaan tunnistetietokannan tuomista käsin esimerkiksi kerran vuorokaudessa. Vaikka kyseessä on esimerkki, kerran vuorokaudessa tuominen tuntuu kohtuuttomalta vaatimukselta, kun huomioidaan nykyisten torjuntaohjelmistojen tapa toimia enemmän anomalioita tunnistaen kuin tunnisteisiin perustuvalla toiminnalla. Erityisesti julkisista verkoista eristetyissä ympäristöissä tunnistetietokannan siirron tiheys tulisi suhteuttaa riskiarvioinnilla muuhun tietojen siirtoon ympäristöön ja siitä pois. I-10 Lokitusvaatimus on käytännössä aiheuttanut kaikista eniten tulkintaa Katakri 2015:n osalta. Olisi hyvä täsmentää, että mitä tapahtumia olisi tyypillisesti hyvä lokittaa. Yksi Windows-työasema tuottaa päivätasolla oletusasetuksilla kymmeniä, jopa yli satatuhatta lokitapahtumaa. Tämä aiheuttaa sen, että lokitietoa tulee jo kohtuullisen pienessäkin ympäristössä niin paljon, että lokienhallintaan liittyvä työmäärä on kohtuuttoman suuri verrattuna muihin I-osion vaatimuksiin aiheutuvaan työmäärään. Keskeistä olisi saada hyvä ohjeistus siitä, että mitä tietoja tulisi lokittaa. Esimerkiksi ohjetta "Tallenteet ovat riittävän kattavia tietomurtojen tai niiden yritysten jälkikäteiseen todentamiseen" on tulkittu auditoijan toimesta niin, että kaikki palomuurin droppaamat paketit tulee lokittaa (yrityksen jälkikäteinen todentaminen). I-14 TEMPEST-vaatimusten osalta olisi hyvä kertoa tarkemmin edellytyksistä suojaukselle, koska julkisesti on hyvin vähän saatavilla tietoa esimerkiksi TEMPEST-tiedustelun uhkista. Tämä erityisesti TL III -tasolla, jossa vaatimukset tunnutaan usein sivutettavan. I-16 Vaikka vaatimuksen tavoite on hyvä, niin ohjelmistoluetteloiden ylläpito on hyvin hankalaa ellei käytetä kattavaa laitehallintaratkaisua (esim SCCM). Nämä ratkaisut eivät ole järkeviä pienempiin julkisista verkoista eriytettyihin ympäristöihin ja varsinkin, kun ratkaisut ovat entistä useammin pilvipohjaisia (esim SCCM korvautumassa Intunella). Vaatimusta olisi hyvä suhteuttaa siihen, että esimerkiksi jokainen käyttöjärjestelmän päivitys (kuten Ubuntun apt-get update) ei aiheuta kohtuutonta työmäärää päivityksen aiheuttamien muutosten hyväksymisessä, koska tämä pahimmillaan johtaa siihen, että päivitysten asennusta harvennetaan ja sitä kautta kokonaisturvallisuustaso heikkenee.

Anna lausunto