Pilvipalveluiden turvallisuuden arviointikriteeristö (PiTuKri)

Pilvipalveluiden yleistyminen on herättänyt perustellusti kysymyksiä siitä, millaista tietoa pilvipalveluissa voi ja kannattaa käsitellä, sekä millaisia riskejä erilaisiin käyttötapauksiin liittyy. Pilvipalveluiden turvallisuuden arviointikriteeristön (PiTuKri) tavoitteena on edistää viranomaisten salassa pidettävän tiedon turvallisuutta tilanteissa, joissa tietoja käsitellään pilvipalveluissa. Kriteeristö on tarkoitettu työkaluksi pilvipalvelujen turvallisuuden arviointiin.

Kuvituskuva

Kriteeristö on laadittu Suomen kansallisten tarpeiden näkökulmasta. Laadinnassa on huomioitu kansallisen lainsäädännön uudistushankkeet siten, että kriteeristö tukee 2020 alussa uusiutunutta lainsäädäntöä. Laadinnassa on hyödynnetty erityisesti BSI:n pilviturvallisuuskriteeristöä, CSA-pilviturvallisuusyhteisön suojausmatriisia, ISO27001- ja ISO27017-standardeja, sekä Katakri-kriteeristöä. Kriteeristön tavoitteena on myös tukea ja konkretisoida Valtiovarainministeriön julkisen hallinnon pilvipalveluiden linjausten (Ulkoinen linkki) käyttöönottoa.

Kriteeristö ottaa kantaa sekä viranomaisen kansallisiin salassa pidettäviin, että turvallisuusluokiteltuihin IV-luokan salassa pidettäviin tietoihin. Kriteeristö sivuaa myös kansainvälisen RESTRICTED-tason turvallisuusluokiteltujen tietojen yleisiä suojausperiaatteita. Kriteeristössä kuvattavat turvallisuusvaatimukset on mitoitettu siten, että tyypillisimmät salassa pidettäviin tietoihin kohdistuvat riskit saadaan pidettyä siedettävällä tasolla. Korkeampien turvallisuusluokkien tietojen turvallisuusjärjestelyihin otetaan kantaa vain pilvipalveluiden yleisen soveltuvuuden arvioinnin yhteydessä. Kriteeristöä voidaan hyödyntää myös viranomaisten julkisten tietojen suojaamiseen, sekä elinkeinoelämän tarpeisiin. Kriteeristön tarkoituksenmukainen käyttö edellyttää riittävää osaamista turvallisuuden arvioijalta, pilvipalveluntarjoajalta ja pilvipalvelun asiakkaalta.

Kyberturvallisuuskeskus jatkaa kriteeristön kehitystä. Kyberturvallisuuskeskus kerää kriteeristöön palautetta ja jatkokehitystoiveita, mitkä tullaan huomioimaan kriteeristön päivitetyissä versioissa. Kriteeristön käyttöön tullaan julkaisemaan myös tukityökaluja ja lisätietoaineistoja.