Lainsäädäntö tieto- ja kyberturvallisuuden perustana : valtionhallinnon viranomaisen näkökulma

Abstract

Työn tavoitteena oli selvittää, miten kansallinen lainsäädäntö velvoittaa ja ohjaa valtionhallinnon viranomaisia tieto- ja kyberturvallisuuden osalta. Alaongelmana vastattiin kysymykseen "Mitä eroa tieto- ja kyberturvallisuudella on lainsäädännössä? Tutkimuksen erityisenä mielenkiinnon kohteena oli viranomaisten toimivaltaa ja yhteistoimintaa koskeva sääntely. Tutkimus toteutettiin grounded teoria -menetelmällä ja tutkimusaineiston muodostivat tieto- ja kyberturvallisuuteen liittyvät lait, asetukset, hallituksen esitykset sekä relevantit valtioneuvoston periaatepäätökset. Tulosten perusteella lainsäädäntö on kaiken viranomaisen toiminnan perusta. Viranomaisen tieto- ja kyberturvallisuus muodostuu strategisesta ohjauksesta, operatiivisesta kyberturvallisuustoiminnasta ja päivittäisistä tietoturvallisuustoimenpiteistä. Kyberturvallisuus eroaa tietoturvallisuudesta siten, että sitä ei käsitteenä esiinny lainsäädännössä, mutta turvallisuusviranomaiset toteuttavat kuitenkin toimenpiteitä, joilla pyritään varmistamaan yhteiskunnan elintärkeiden toimintojen turvaaminen. Kyberturvallisuus edustaa uusiin teknologioihin liittyvää poikkihallinnollista haastetta, joka ilmenee mm. hallinnonaloille jakautuneina vastuina eikä viranomaisten yhteistyölle ole selkeää lakipohjaa. Hallinnon julkisuusperiaate asettaa viranomaisen tietoturvallisuudelle vaatimuksen julkisuusnäkökulmasta käytettävyydelle ja salassa pidon osalta luottamuksellisuudelle ja eheydelle. Tutkimuksen perusteella tietoturvallisuuden perustan muodostavia yhtenäisiä vaatimuksia ei ole säädetty ja viranomaisten tietoteknisten ratkaisujen arvioinnin säätely ei edellytä viranomaiselta kansallisen tiedon osalta tietojärjestelmien arviointia. Valtion yhteisten tieto- ja viestintäteknisten palvelujenkaan osalta ei ole asetettu selkeitä vaatimuksia, mikä osaltaan jättää palveluntuottajille merkittävän vastuun.

The goal of this thesis was to find out, how national legislation obligates and guides government authorities in information and cyber security. A sub question was "What is the difference between information and cyber security by legislation?" Special attention was given to legislation of jurisdiction and cooperation between different authorities. The study was executed according to grounded theory. The research material comprised acts on information and cyber security, government decrees, government proposals and relevant government resolutions. All activities of the public authorities are based on legislation. Authorities' information and cyber security comprises strategic guidance, operational cyber security activities and daily information security measures. Cyber security is not included in legislation as a concept, but still, security authorities execute actions to maintain the vital functions of the society. Cyber security represents emerging technology, which creates a cross governmental challenge by dived responsibilities. Furthermore, legislation gives not enough clear jurisdiction for the cooperation between different authorities. Principle of public access sets requirements for the information security of the authorities. Public access is related to the availability of the information and on the other hand, secrecy is related to confidentiality and integrity of the information. Based on the results, there are no common criteria for information security requirements by the legislation. No act obligates audit of the infor-mation systems containing only national information. There are also no clear information security requirements for government's common ICT-services, which gives the service provider a remarkable responsibility.