Ohje käyttöympäristön vaatimustenmukaisuuden arviointiin

Ohjeen tausta ja tarkoitus

Tämä ohje koskee voimassa olevaa Findatan määräystä 1/2022 eli Tietolupaviranomaisen määräystä muiden palveluntarjoajien tietoturvallisille käyttöympäristöille asetettavista vaatimuksista. Määräys on annettu 19.1.2022. Lisätietoa määräyksestä löydät sivulta Käyttöympäristöjä koskeva määräys.

Ohje on suunnattu käyttöympäristöjen palveluntarjoajille ja arviointielimille. Sen tarkoituksena on selkeyttää vaatimustenmukaisuuden arviointia sekä edistää arviointien yhdenmukaisuutta esimerkiksi tilanteissa, joissa käyttöympäristöä suunnitellaan tai laajennetaan uusilla palveluilla tai teknologioilla.

Käyttöympäristöt ja niiden tietoturvavaatimukset ovat vain osa toisiolain määrittämää kokonaisuutta. Tässä ohjeistuksessa otetaan kantaa vain käyttöympäristöjen tietoturvavaatimuksiin liittyviin asioihin.

Ohjetta päivitetään tarvittaessa.

Havaitut ohjeistusta edellyttävät kohdat 

1. Onko kyseessä Katakri- tai ISO 27001-auditointi? 

Ei. Auditoinnin vaatimukset perustuvat toisiolakiin. Kriteeristöjä hyödynnetään kohdennetusti niiden toteutusesimerkkejä käyttäen ja samalla arvioidaan niiden soveltuvuus suhteessa arvioitavaan toteutukseen.

Katakrin suojaustasoja tai turvallisuusluokkia ei huomioida arvioinnissa vaan sovellettavat Katakri-vaatimukset ovat ilmoitettu arvioitavan kohteen vaatimusten yhteydessä (Vrt. 1 Yleistä, 5. kappale). Arviointilaitokset voivat kuitenkin soveltaa Katakri-audioinneissa käyttämiään todennusmenetelmiä, joilla vaatimusten täyttyminen todetaan. 

On hyvä huomioida myös, että palveluntarjoajan voimassa olevat tietoturvallisuuteen liittyvät todistukset voidaan huomioida määräyksessä esitettyjen kohtien vaatimustenmukaisuuden osoittamisessa. (Vrt. 1 Yleistä, 4. kappale) 

2. Miksi Katakri- ja ISO 27001 -vaatimuksia ei ole päivitetty uusimpaan versioon? 

19.1.2022 annetussa määräyksessä viitattujen kriteeristöjen päivittämiseen uudistettuihin versioihin ei ole tietoturvan parantamisen kannalta riittäviä perusteita, huomioiden palveluntarjoajille ja arviointilaitoksille muutoksista koituva työmäärä esimerkiksi tilanteissa, joissa jo auditoituja ympäristöjä uudelleen arvioidaan tai ensimmäiseen arviointiin valmistautuminen on jo loppusuoralla. 

3. Onko määräys teknologiariippumaton? 

Kyllä. Määräys ei ota kantaa tekniseen toteutukseen, ja siksi vaatimuksia on tarkasteltava tapauskohtaisesti soveltaen (vrt. 1 Yleistä, kappale 3). Tärkeintä on, että määräyksen vaatimukset palveluntarjoajalle ja käyttöympäristölle pystytään täyttämään. Käyttöympäristö voidaan toteuttaa eri tavoin ja tietoturvakontrolleja arvioitaessa on huomioitava soveltuuko vaatimus valittuun toteutukseen. Myös tarkoitukseen soveltuvat kompensoivat kontrollit ovat mahdollisia. 

4. Mitä eroa on käyttöympäristöllä ja käyttäjäympäristöllä? 

Käyttöympäristöön luodaan tietolupakohtainen käyttäjäympäristö. Käyttöympäristö tarkoittaa palveluntarjoajan vastuulla olevaa teknistä, organisatorista ja fyysistä tietojen käsittelyn toimintaympäristöä, jonka tulee täyttää määräyksen vaatimukset. 

Käyttäjäympäristöllä tarkoitetaan siis tietoturvallisessa käyttöympäristössä sijaitsevaa tietolupakohtaisesti eriytettyä tietojenkäsittely-ympäristöä, jossa asiakas/tutkija tai -ryhmä käsittelee henkilötietoja sisältäviä aineistoja. (Vrt. 1.1. Määritelmät) 

Kun viitataan esim. käyttäjien käyttöoikeuksiin käyttöympäristössä, on käytännössä kyse tietolupakohtaisen käyttäjäympäristön käyttäjistä ja jos viitataan ylläpitäjiin, kyse on tietoturvallisesta käyttöympäristöstä. 

5. Voiko käyttäjille antaa oikeuksia asentaa ja muokata omia ohjelmistoja? 

Käyttäjälle voidaan myöntää oikeuksia, jotka ovat peruskäyttäjän oikeuksia suuremmat, jos nämä liittyvät tietoluvan mukaiseen tietojen käsittelyyn, eivätkä ne käyttöympäristön ylläpitäjän riskiarvion mukaan vaaranna tietoturvallisuutta (Vrt. määräys liite 1, kohta 2.3.2.3.f). 

6. Miksi määräys ei ota kantaa aineistojen pseudonymisoinnin tai anonymisoinnin toteuttamiseen? 

Aineistojen pseudonymisointi tai anonymisointi ei ole käyttöympäristön palveluntarjoajan vastuulla. Asiasta säädetään toisiolaissa. Pääsääntöisesti tietoluvan myöntäjä tekee aineistojen pseudonymisoinnin ennen siirtoa käyttöympäristöön. Anonymisointiin liittyviä ohjeita julkaistaan Findatan verkkosivuilla. 

7. Mitkä ovat eri toimijoiden roolit auditoinnissa? 

Tietolupaviranomainen vastaa käyttöympäristöjä koskevasta määräyksestä, jonka perusteella auditointi tehdään.  Arviointilaitokset arvioivat, täyttääkö käyttöympäristö tietoturvallisuutta koskevat vaatimukset. Valvira valvoo vaatimustenmukaisuuden toteuttamista. Traficom hyväksyy auditoivat arviointilaitokset. 

8. Mikä ero on käyttöympäristön palveluntarjoajalla ja IT-palvelutoimittajalla? 

Palveluntarjoaja on toimija, joka tarjoaa asiakkailleen tietoturvalliseen käyttöympäristöön liittyviä palveluita ja vastaa toisiolain asettamista vaatimuksista.

IT-palvelutoimittaja on esimerkiksi käyttö- tai pilvipalvelutoimittaja, joka toteuttaa tekniset alustat ylläpidettynä. Tavallisesti IT-palvelutoimittaja toimii tietoturvallisen käyttöympäristön palveluntarjoajan alihankkijana. 

9. Voiko käyttöympäristössä hyödyntää pilvipalveluja? 

Kyllä. Pilvipalveluiden hyödyntäminen on huomioitu määräyksessä. Palveluntarjoajan on varmistettava käyttämänsä pilvipalvelun toimittajan luotettavuus hyödyntämällä mainittuja arviointikriteerejä. Pilvipalvelun toimittajan on mahdollista osoittaa vaatimustenmukaisuus dokumentaatiolla. Käyttöympäristön palveluntarjoajalla on oltava määräyksen vaatimukset kattava sopimussuhde valittuun pilvipalvelun toimittajaan ja luotettavuus on osoitettava toimivalla hallintajärjestelmällä (ISMS). 

10. Onko suurteholaskennan käyttäminen mahdollista? 

Kyllä, sillä määräys ei aseta rajoituksia käytettäville teknologioille. Palveluntarjoajan on huolehdittava, että tietolupakohtaisen aineiston tietoturva toteutuu käsittelyn eri vaiheissa. Jos suurteholaskenta tapahtuu erillään nykyisestä auditoidusta käyttöympäristöstä, on se osuus laskentaympäristöstä, jossa aineistoja käsitellään (siirto, laskenta, poisto), auditoitava osaksi käyttöympäristöä. 

11. Voiko käyttöympäristö sijaita ulkomailla? 

Määräys mahdollistaa käyttöympäristön perustamisen EU/ETA-alueelle (vrt. määräys liite 1, kohta 3.1.2.1) ja käyttöympäristön palveluntarjoajan on oltava EU/ETA-alueella rekisteröity organisaatio (vrt. määräys liite 1, kohta 3.1.2.2).

12. Miksi käyttäjä ei saa itse siirtää luvitettuja aineistoja? 

Tietoturvallisen käyttöympäristön tarkoituksena on varmistaa salassa pidettävien henkilötietojen tietoturvallinen käsittely. Toisiolaki määrittää aineistojen käsittelyyn oikeutetut osapuolet ja menettelyt. Käyttäjä rikkoisi lakia käsitellessään tietoluvassa määritettyjä aineistoja tietoturvallisen käyttöympäristön ulkopuolella.  

13. Voiko käyttäjä kuitenkin siirtää itse muita kuin henkilötietoja sisältäviä aineistoja tai tiedostoja käyttöympäristöön? 

Tiedostojen siirto käyttöympäristöön tulee tapahtua palveluntarjoajan järjestämällä ja kontrolloimalla tavalla. Siirtoratkaisujen tarjoaminen käyttäjille ja automatisointien hyödyntäminen ei ole kiellettyä. Palveluntarjoajan tulee kerätä siirroista lokitiedot (vrt. Toisiolaki 23 § 2 mom).

Käyttäjä saa siis siirtää tietoturvalliseen käyttöympäristöön muita tarkoituksenmukaisia tiedostoja, esimerkiksi ohjelmistoja tai tietoluvassa (vrt. tiedonhyödyntämissuunnitelma) määritettyjä muita aineistoja, joita ei kuljeteta tietoluvan myöntäjän kautta käyttöympäristöön.  

14. Mitkä ovat palveluntarjoajan vastuut aineistojen vastaanotossa? 

Palveluntarjoaja tarkastaa käyttöympäristöön vastaanottamiensa tietojen eheyden. Palveluntarjoajalla ei ole oletusarvoisesti oikeutta tai velvollisuutta tarkastaa siirretyn aineiston sisältöä, vaan tarkastaa ovatko kaikki siirrot tulleet virheettömästi perille ja etteivät vastaanotetut henkilötietoaineistot paljastu väärille osapuolille. Lokitietojen tallentaminen vastaanotosta tulee myös huomioida. 

15. Miten tuloksia siirretään ulos käyttäjäympäristöstä? 

Tuloksien siirto käyttöympäristöstä tulee tapahtua palveluntarjoajan järjestämällä ja kontrolloimalla tavalla. Siirtoratkaisujen tarjoaminen käyttäjille ja automatisointien hyödyntäminen ei ole kiellettyä. Palveluntarjoajan tulee kerätä siirroista lokitiedot (vrt. Toisiolaki 23 § 2 mom). 

Tulosten anonymisointiin liittyvät tehtävät eivät ole palveluntarjoajan vastuulla. Anonymisointiin liittyviä ohjeita julkaistaan Findatan verkkosivuilla.

16. Onko käyttöympäristön viitearkkitehtuuria pakko noudattaa? 

Ei ole. Määräyksessä on esitetty periaatteellinen järjestelmäarkkitehtuuri, jotta käyttöympäristöltä edellytettävät vaatimukset on helpompi ymmärtää. Jos arkkitehtuuri on erilainen, noudatetaan määräystä valittuun arkkitehtuuriin soveltuvasti. 

17. Miten käyttäjien toimia pitää lokittaa? 

Palveluntarjoaja lokittaa käyttäjän toimet pääsynvalvontatasolla. Käyttäjäympäristöön on pääsyoikeudet vain tietolupaan nimetyillä henkilöillä. Käyttäjällä on siis tietoluvan mukaisesti oikeus käsitellä aineistoja eikä lokitukselle näin ole tarvetta – saati, että se olisi edes mahdollista käytettävien ohjelmistojen laaja kirjo huomioiden. Käyttöympäristön ylläpitäjien toimet lokitetaan pääsynvalvontatasolla. 

18. Kuka on käyttöympäristöön liittyen EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisterinpitäjä? 

Tutkimusaineistojen luvansaajat toimivat rekisterinpitäjinä aineistoilleen. Käyttöympäristön palveluntarjoaja on henkilötietojen käsittelijä.  

19. Miten haittaohjelmatarkastuksen tarvitsemat päivitykset siirretään käyttöympäristöön? 

Palveluntarjoaja voi järjestää haittaohjelmatunnisteiden säännöllisen päivittymisen rajaamalla sen tarvitseman liikennöinnin tarkasti esimerkiksi palomuurisäännöstöjen avulla. Kaikki liikenteen avaukset on tehtävä mahdollisimman suppeana ja dokumentoidusti. 

20. Voiko käyttöympäristöjen kesken toteuttaa federoituja analyysejä? 

Kyllä, edellyttäen, että tietoluvan tutkimussuunnitelma kattaa ko. käyttötapauksen, käyttöympäristöstä ulos ei siirry salassa pidettäviä henkilötietoja ja arviointilaitos on hyväksynyt ratkaisun toteutuksen. 

21. Kuka tekee tulkinnat, mikäli määräyksen soveltamisessa esiintyy epäselvyyksiä? 

Ensi sijassa tulkinnat tekee arviointilaitos. Mikäli arviointilaitos katsoo tarpeelliseksi, se voi hakea asiaan Findatan, muiden arviointilaitosten ja Traficomin kannanotot. Ohjeistusta edellyttävät asiat päivitetään tähän ohjeeseen ja tehdyistä päivityksistä viestitään osapuolille. 

Yhteystiedot