Arviointi, hyväksyntä ja neuvonta | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Arviointi, hyväksyntä ja neuvonta

NCSA-toimintomme lakisääteisenä tehtävänä on tarjota arviointi- ja hyväksyntäpalveluita. Lisäksi tarjoamme tietoturvaneuvontaa valtionhallinnolle sekä huoltovarmuuskriittisille toimijoille.

Tällä sivulla

Kansainvälisistä tietoturvallisuusvelvoitteista, turvallisuusselvityksistä sekä viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista annettujen lakien mukaan tehtäviimme kuuluvat erilaiset tietojärjestelmien turvallisuusarvioinnit ja -hyväksynnät.

Kansainvälisen turvaluokitellun tiedon osalta tehtäviimme kuuluu toimia kansallisena turvallisuusjärjestelyjen hyväksyntäviranomaisena (SAA, Security Accreditation Authority), salaustuotteiden hyväksyntäviranomaisena (CAA, Crypto Approval Authority), TEMPEST-viranomaisena (NTA, National TEMPEST Authority), sekä salatun aineiston jakelusta vastaavana viranomaisena (CDA, Crypto Distribution Authority; NDA, National Distribution Authority).

Tietojärjestelmien hyväksyntä- ja arviointipalvelut

Tietojärjestelmien hyväksyntäpalvelua tarjotaan sellaisille valtionhallinnon organisaatioiden tietojärjestelmille, joille kansainvälinen tietoturvallisuusvelvoite (esimerkiksi EU- tai NATO-tiedon käsittely) edellyttää SAA:n hyväksyntää. Hyväksyntäpalvelua tarjotaan myös yritysturvallisuusselvitysprosessiin hakeutuneiden yritysten tietojärjestelmille.

Tietojärjestelmien arviointipalvelua tarjotaan viranomaisen määräämisvallassa oleville tai hankittavaksi suunnittelemille tietojärjestelmille, joista viranomainen on tehnyt meille arviointipyynnön. Arviointipalvelua tarjotaan myös Valtiovarainministeriön pyynnöstä tehtäviin selvityksiin valtionhallinnon viranomaisen määräämisvallassa olevien tietojärjestelmien tai tietoliikennejärjestelyjen yleisestä tietoturvallisuuden tasosta.

Lisätietoja on ohjeessa tietojärjestelmien arviointi- ja hyväksyntäprosesseista. 

Tämä ohje on tarkoitettu viranomaisille ja yrityksille (asiakasorganisaatiot), joilla on tarve käsitellä kansallista tai kansainvälistä turvallisuusluokiteltua tietoa sähköisessä muodossa. Ohjeessa kuvataan Liikenne- ja viestintävirasto Traficomin tietojärjestelmien arviointi- ja hyväksyntäprosessit asiakasorganisaation näkökulmasta. Ohjeessa kuvataan arvioinnin ja hyväksynnän edellytykset sekä esitellään arviointi- ja hyväksyntäprosessit asiakasorganisaatiolta edellytettävien toimenpiteiden näkökulmasta.

TRAFICOM/1061/09.04.00/2023

Voimaantulopäivä: 03.04.2025

Traficomin hyväksymien tietoturvallisuuden arviointilaitosten arviointipalvelut

Traficomin lisäksi myös hyväksytyt tietoturvallisuuden arviointilaitokset voivat suorittaa saamansa hyväksynnän mukaisia arviointeja. Traficom hyväksyy arviointilaitokset perustuen lakiin tietoturvallisuuden arviointilaitoksista.

Luettelo hyväksytyistä tietoturvallisuuden arviointilaitoksista
Arviointilaitokseksi hyväksymistä koskeva hakemus

Turvallisuustuotteiden arviointi- ja hyväksyntäpalvelu

Turvallisuustuotteiden arviointi- ja hyväksyntäpalvelua tarjotaan tuotteille, joita on tarkoitettu käytettäväksi kansallisen tai kansainvälisen turvallisuusluokitellun tiedon suojaamiseksi. Palvelu keskittyy erityisesti salaustuotteiden arviointeihin ja hyväksyntiin. Lisätietoja on ohjeessa salaustuotteiden arvioinnista ja hyväksynnästä.

Tässä ohjeessa kuvataan salaustuotteiden ja muiden turvallisuuskriittisten tuotteiden arviointi- ja hyväksyntäprosessien pääperiaatteet ja eri tilanteet, joissa Liikenne- ja viestintävirasto (Traficom) voi tehdä arviointeja. Ohje koskee turvallisuusluokitellun tiedon sähköisen käsittelyn suojaamiseen tarkoitettuja tuotteita.

Voimaantulopäivä: 07.02.2025

Lisätietoja

Turvallisuustuotteiden arviointi- ja hyväksyntäpalvelua tarjotaan resurssien mahdollistamissa rajoissa myös muille tuoteryhmille, kuten esimerkiksi yhdyskäytäväratkaisu- ja tiedonhävitystuotteille. Veloitamme arviointi- ja hyväksyntäpalveluihin liittyvistä toimenpiteistä työmäärään perustuvan maksun.

Tietoturvaneuvonta valtionhallinnolle sekä huoltovarmuuskriittisille toimijoille

Palvelun tarkoituksena on varmistaa organisaatioiden tietoisuus kybertoimintaympäristön uhkista sekä tukea organisaatioita toimintansa ja järjestelmiensä turvallisuuden varmistamisessa.

Tietoturvaneuvonta jakautuu kahteen päätyyppiin. Ensimmäinen keskittyy turvallisuusluokitellun aineiston suojaamiseen liittyvään neuvontaan. Jälkimmäinen koskee laaja-alaisempaa yhteiskunnan kyberturvallisuuteen liittyvää neuvontaa. Tietoturvaneuvontaa tarjotaan Kyberturvallisuuskeskuksen toimivallan antamissa rajoissa.

Turvallisuusluokitellun aineiston suojaamisen neuvonnan ensisijaisena tarkoituksena on tukea tietojärjestelmien turvallisuusarviointi- ja hyväksyntäpalveluiden asiakkaita. Neuvonnan tarkoituksena on varmistaa, että asiakkailla on riittävä ymmärrys sovellettavasta tulkintakäytännöstä sekä soveltuvista ratkaisukäytännöistä. Neuvontapalvelun tavoitteena on tukea asiakkaita resurssien kohdentamisessa turvallisuuden kannalta kriittisimpiin suojauksiin.

Neuvontapalvelu voi tukea asiakasta esimerkiksi tietojärjestelmien konseptitason arvioinneilla tai uusien teknologioiden turvallisuuden arvioinneilla. Neuvontapalvelu voi tukea asiakasta myös tilanteissa, joissa arviointi- tai hyväksyntäpalvelussa on havaittu tietojärjestelmän suojauksista haastavia, korjausta edellyttäviä puutteita.

Turvallisuusluokitellun aineiston suojaamiseen liittyvä neuvonta edellyttää tilaajaorganisaatiolta perusteltua tarvetta käsitellä kansallista tai kansainvälistä salassa pidettävää tietoa. Neuvontapalvelun käyttö ei takaa, että arviointi- tai hyväksyntäpalvelun kohde täyttäisi kaikki siihen kohdistuvat suojausvaatimukset. Lopullinen arvio kohteen vaatimustenmukaisuuden nykytilasta tehdään osana arviointi- ja hyväksyntäpalvelua.

Yhteiskunnan kyberturvallisuuden neuvonnan tarkoituksena on tukea suomalaisia viranomaisia ja huoltovarmuuskriittisiä organisaatioita kyberturvallisuuden toteuttamisessa. Neuvontapalvelu tarjoaa mahdollisuuden keskustella muun muassa organisaatioihin tai niiden tuottamiin palveluihin kohdistuvista uhkista, käytännössä Suomessa ja ulkomailla havainnoiduista riskeistä, sekä tehokkaimmiksi todetuista suojausmenetelmistä. Neuvontapalvelu voi tukea organisaatioita myös vaatimuskriteeristöjen kehityksessä, tietoturvan tiekarttojen laadinnoissa sekä muissa organisaation tai/ja yhteiskunnan kyberturvallisuuden parantamiseen tähtäävissä hankkeissa.

Yhteydenotot ja lisätiedot

Yhteydenotot pyydetään osoitteeseen neuvontapalvelu@traficom.fi

Sivu on viimeksi päivitetty