FiComin lausunto Julkri-suosituksista

Tiedonhallintalautakunnan tietoturvallisuusjaosto on pyytänyt FiComilta lausuntoa suosituksesta julkisen hallinnon tietoturvallisuuden arviointikriteeristöstä (Julkri). FiCom kiittää mahdollisuudesta tulla kuulluksi ja esittää kunnioittavasti seuraavaa:

FiComin keskeiset viestit

• Kokonaisuutena kriteeristö huomioi kattavasti kaikki tietoturvallisuuden osa-alueet.
• Katakri-vaatimusten ulottamista myös muihin kuin turvallisuusluokiteltuihin tietoihin tulee harkita uudelleen. Liian tiukat vaatimukset estävät tiedonhallintayksikön käytännön toiminnan.
• Vaatimukset tulee luettavuuden ja selkeyden vuoksi erotella tiedon luokittelutason mukaan. Nyt esitetyssä on jopa ristiriitoja.
• Julkri tuo Katakri-tasoisten vaatimusten piiriin huomattavan joukon tiedonhallintoyksiköitä, joita vaatimukset eivät ole aiemmin koskeneet.

Tiedonhallintalautakunnan tietoturvallisuusjaoston yhteistyössä tietosuojavaltuutetun toimiston kanssa laatimat suositusluonnokset huomioivat kattavasti kaikki tietoturvallisuuden osa-alueet. On myös erittäin hyvä ja selkeä ratkaisu ottaa vaatimusten pohjaksi Katakri- ja Pitukri-vaatimukset, jolloin vältetään ristiriitatilanteet ja tulkintaepäselvyydet kriteeristöjä sovellettaessa.

Tehtyä ratkaisua, jossa Katakri-vaatimukset on ulotettu myös muihin kuin turvallisuusluokiteltuihin tietoihin (salassa pidettävät ja julkiset tiedot) tulee kuitenkin harkita uudelleen. Ehdotetut vaatimukset ovat erittäin järeitä turvallisuusluokittelemattomien tietojen käsittelyyn ja tulevat todennäköisesti nostamaan tiedonhallintayksiköiden IT-kustannuksia hallitsemattomasti nykyisestä. Tietoturvavaatimukset tulisi aina, läpi kriteeristön, suhteuttaa käsiteltävän tiedon luokittelutasoon, koska liian tiukat vaatimukset estävät tiedonhallintayksikön käytännön toiminnan. Vaatimuksissa on erityisesti huomioitava, että pääosa työstä tehdään nykyisellään etänä muualta kuin turvaluokitelluilta alueilta, ja tyypillisesti käytössä ovat erilaiset langattomat laitteet. Lisäksi oletuksena työtä tehdään nykyään tyypillisesti merkittävissä määrin älypuhelimilla tai vähintäänkin niin, että älypuhelin on työntekijän käytettävissä samassa työtilassa.

Kriteeristön luettavuus ja tulkinta vaikeutuvat huomattavasti, kun vaatimuksia ei ole eroteltu tiedon luokittelutason mukaan. Vaatimuksista on haastava hahmottaa, mikä vaatimus koskee mitäkin luokittelutasoa, kun yleiskuvauksessa ja toteutusesimerkeissä tiedon eri luokittelutasoja koskevat vaatimukset sekoittuvat toisiinsa. Lisäksi osassa vaatimuksia yleiskuvaus ja toteutusesimerkit eivät vastaa vaatimuksen tunnisteeseen merkittyä luokitustasoa, esimerkkinä TEK-01.2. Osa vaatimuksista on jopa ristiriitaisia. Tiedot tulee luettavuuden ja selkeyden vuoksi erotella tiedon luokittelutason mukaan, minkä lisäksi yleiskuvaus ja esimerkit tulee vielä tarkistaa vastaamaan merkittyä luokitustasoa.

Vaatimukset julkisen tiedon ja salassa pidettävän tiedon osalta ovat huomattavasti kireämmät kuin tämänhetkinen käytäntö tai sopimukset vaativat. Lisäksi Julkri tuo erittäin tiukkojen Katakri-tasoisten vaatimusten piiriin huomattavan joukon tiedonhallintayksiköitä, kuten kunnat, joita vaatimukset eivät ole aiemmin koskeneet. Pelkona on, että syntyy väärinymmärryksiä tai esimerkiksi lakiin perustumattomia, liian tiukkoja vaatimuksia. Kriteeristö jättää myös epäselväksi, miten vaatimusten luokittelu tietosuojanäkökulmasta suhteutuu julkisuuslain 24 §:n mukaiseen salassapitoluokitukseen.