Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Liikenne- ja viestintävirasto Traficomin tehtäviin kuuluvista tietojärjestelmien arvioinneista ja hyväksynnistä säädetään laissa kansainvälisistä tietoturvallisuusvelvoitteista (588/2004, kv-titulaki), turvallisuusselvityslaissa (706/2014) ja laissa viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen arvioinnista (1406/2011, arviointilaki).

Kansainvälisten tietoturvallisuusvelvoitteiden mukaisesti esimerkiksi EU:n ja Naton turvallisuusluokiteltua tietoa käsittelevien tietojärjestelmien tulee läpikäydä hyväksyntäprosessi (akkreditointi). Kansallista turvallisuusluokiteltua tietoa käsitteleviin viranomaisten tietojärjestelmiin ei kohdistu lainsäädännöstä yleistä velvoitetta tietojärjestelmän hyväksynnälle (akkreditoinnille). Julkisen hallinnon tiedonhallinnasta annetun lain (906/2019, tiedonhallintalaki) mukaisesti viranomaisen tiedonhallintayksikön on seurattava toimintaympäristönsä tietoturvallisuuden tilaa ja varmistettava tietoaineistojen ja tietojärjestelmien tietoturvallisuus koko niiden elinkaaren ajan. Viranomaisen tiedonhallintayksikön on selvitettävä olennaiset tietojenkäsittelyyn kohdistuvat riskit ja mitoitettava tietoturvallisuustoimenpiteet riskiarvioinnin mukaisesti (13 §). Valtioneuvoston asetuksessa asiakirjojen turvallisuusluokittelusta valtionhallinnossa (1101/2019) mukaisesti tarpeettomaksi käynyt turvallisuusluokiteltu asiakirja on tuhottava tavalla, jolla kyseiselle turvallisuusluokalle riittävän luotettavasti estetään tietojen palauttaminen sekä kokoaminen uudelleen kokonaan tai osittain (15 §).
Tämän ohjeen tarkoituksena on tukea organisaatioiden riskienhallintaa turvallisuusluokiteltua tietoa sisältävien tallennusvälineiden tyhjennyksessä ja uusiokäytössä. Ohjetta voidaan hyödyntää myös muun salassa pidettävän tiedon suojaamiseen. Ohjeessa kuvataan yleisimmät edellytykset tallennusmedioiden luotettavaan, todennettavissa olevaan tyhjennykseen ja uusiokäyttöön. Ohjeessa käsitellään myös sellaisia tyhjennysmenetelmiä, joiden todennettavuudessa on oleellisia puutteita ja joiden käyttöön liittyy vain osin hallittavissa olevia riskejä.