Lainsäädäntö tieto- ja kyberturvallisuuden perustana : valtionhallinnon viranomaisen näkökulma
Työn tavoitteena oli selvittää, miten kansallinen lainsäädäntö velvoittaa ja ohjaa valtionhallinnon viranomaisia tieto- ja kyberturvallisuuden osalta. Alaongelmana vastattiin kysymykseen "Mitä eroa tieto- ja kyberturvallisuudella on lainsäädännössä? Tutkimuksen erityisenä mielenkiinnon kohteena oli viranomaisten toimivaltaa ja yhteistoimintaa koskeva sääntely.
Tutkimus toteutettiin grounded teoria -menetelmällä ja tutkimusaineiston muodostivat tieto- ja kyberturvallisuuteen liittyvät lait, asetukset, hallituksen esitykset sekä relevantit valtioneuvoston periaatepäätökset.
Tulosten perusteella lainsäädäntö on kaiken viranomaisen toiminnan perusta. Viranomaisen tieto- ja kyberturvallisuus muodostuu strategisesta ohjauksesta, operatiivisesta kyberturvallisuustoiminnasta ja päivittäisistä tietoturvallisuustoimenpiteistä. Kyberturvallisuus eroaa tietoturvallisuudesta siten, että sitä ei käsitteenä esiinny lainsäädännössä, mutta turvallisuusviranomaiset toteuttavat kuitenkin toimenpiteitä, joilla pyritään varmistamaan yhteiskunnan elintärkeiden toimintojen turvaaminen. Kyberturvallisuus edustaa uusiin teknologioihin liittyvää poikkihallinnollista haastetta, joka ilmenee mm. hallinnonaloille jakautuneina vastuina eikä viranomaisten yhteistyölle ole selkeää lakipohjaa.
Hallinnon julkisuusperiaate asettaa viranomaisen tietoturvallisuudelle vaatimuksen julkisuusnäkökulmasta käytettävyydelle ja salassa pidon osalta luottamuksellisuudelle ja eheydelle. Tutkimuksen perusteella tietoturvallisuuden perustan muodostavia yhtenäisiä vaatimuksia ei ole säädetty ja viranomaisten tietoteknisten ratkaisujen arvioinnin säätely ei edellytä viranomaiselta kansallisen tiedon osalta tietojärjestelmien arviointia. Valtion yhteisten tieto- ja viestintäteknisten palvelujenkaan osalta ei ole asetettu selkeitä vaatimuksia, mikä osaltaan jättää palveluntuottajille merkittävän vastuun.
...
The goal of this thesis was to find out, how national legislation obligates and guides government authorities in information and cyber security. A sub question was "What is the difference between information and cyber security by legislation?" Special attention was given to legislation of jurisdiction and cooperation between different authorities.
The study was executed according to grounded theory. The research material comprised acts on information and cyber security, government decrees, government proposals and relevant government resolutions.
All activities of the public authorities are based on legislation. Authorities' information and cyber security comprises strategic guidance, operational cyber security activities and daily information security measures. Cyber security is not included in legislation as a concept, but still, security authorities execute actions to maintain the vital functions of the society. Cyber security represents emerging technology, which creates a cross governmental challenge by dived responsibilities. Furthermore, legislation gives not enough clear jurisdiction for the cooperation between different authorities.
Principle of public access sets requirements for the information security of the authorities. Public access is related to the availability of the information and on the other hand, secrecy is related to confidentiality and integrity of the information. Based on the results, there are no common criteria for information security requirements by the legislation. No act obligates audit of the infor-mation systems containing only national information. There are also no clear information security requirements for government's common ICT-services, which gives the service provider a remarkable responsibility.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29740]
License
Related items
Showing items with similar title or keywords.
-
Julkisen hallinnon tietoturvallisuuden arviointikriteeristö tietoturva-arviointien välineenä
Laitila, Rami (2023)Tutkimuksessa pyrittiin selvittämään, miten Julkri eli Julkisen hallinnon tietoturvallisuuden arviointikriteeristö toimii tietoturva-arviointien välineenä ja miten se suhteutuu aiemmin julkaistuihin tietoturvallisuuden ... -
Massadatan hyödyntäminen tietoturvallisuuden näkökulmasta
Niskanen, Tatu (2021)Massadata, johon viitataan yleisesti myös käsitteellä Big data, on kokoelma dataa, joka on kooltaan todella suuri, se on luonteeltaan monipuolista ja hajanaista, ja sitä tulee nopeasti lisää. Massadata aiheuttaa organisaatioille ... -
Tietoturvallisuuden mittareiden nykytila
Salmi, Niko (2018)Suosittu sanonta kertoo mittaamisen merkitsevän asian tietämistä. Kuten mitä tahansa muuta prosessia, ei tietoturvallisuuden prosessejakaan voida hallita, mikäli niitä ei voida mitata. Kuitenkaan saatavilla oleva tieto ... -
VAHTI-ohjeiden soveltaminen valtionhallinnon organisaation palvelintietoturvaan
Juuma, Matias (2014) -
Kyberturvallisuuden/tietoturvallisuuden opetus peruskoulussa
Nykänen, Annika (2023)Opettajien opetusstrategiat sekä oppilaiden oppimisstrategiat ovat kehittyneet mukautumaan nykyajan digitaalisiin resursseihin. Kouluissa tapahtunut ”digiloikka” merkitsi opetuksen ja oppimateriaalien mukauttamista ...