Ohje erillistyöasemien tietoturvallisuuden varmistamisesta

Liikenne- ja viestintävirasto Traficomin tehtäviin kuuluvista tietojärjestelmien arvioinneista ja hyväksynnistä säädetään laissa kansainvälisistä tietoturvallisuusvelvoitteista (588/2004, kv-titulaki), turvallisuusselvityslaissa (706/2014) ja laissa viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista (1406/2011, arviointilaki). Laissa tietoturvallisuuden arviointilaitoksista (1405/2011, arviointilaitoslaki) säädetään arviointilaitosten ja niiden pätevyysalueiden hyväksymisestä.

Kansainvälisten tietoturvallisuusvelvoitteiden mukaisesti esimerkiksi EU:n ja Naton turvallisuusluokiteltua tietoa käsittelevien tietojärjestelmien tulee läpikäydä hyväksyntäprosessi (akkreditointi). Traficomin myöntämää hyväksyntää on mahdollista hakea tietojärjestelmissä käsiteltävien kansainvälisten turvallisuusluokiteltujen tietojen suojaamiseen. Kansallista turvallisuusluokiteltua tietoa käsitteleviin viranomaisten tietojärjestelmiin ei kohdistu lainsäädännöstä yleistä velvoitetta tietojärjestelmän hyväksynnälle (akkreditoinnille). Viranomaisilla on kuitenkin mahdollisuus hakea Traficomin arviointia tietojärjestelmissä käsiteltävien kansallisten turvallisuusluokiteltujen tietojen suojaamisen tasosta. Arviointi- ja hyväksyntäprosesseja on kuvattu kattavammin Traficomin ohjeessa tietojärjestelmien arviointi- ja hyväksyntäprosesseista .

Turvallisuusluokiteltua tietoa käsittelevien tietojärjestelmien suunnittelussa tulee huomioida sekä toiminnalliset että turvallisuuteen liittyvät tarpeet. Pysyvästi tietoverkoista erotettujen erillistyöasemien käyttö on yleinen tapa toteuttaa turvallisuusluokitellun tiedon sähköinen käsittely siten, että yleiset turvallisuusluokiteltuihin tietoihin kohdistuvat riskit saadaan hallittua nopeasti ja kustannustehokkaasti.