Tietoturvallisuuden kehittäminen Helsingin poliisilaitoksella
Kaarnalehto, Mika (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023051711426
https://urn.fi/URN:NBN:fi:amk-2023051711426
Tiivistelmä
Valtiohallinnossa lähtökohtana on, että jokainen organisaatio vastaa oman toimintansa tietoturvallisuudesta. Valtioneuvoston periaatepäätöksessä valtion tietoturvallisuuden kehittämisestä velvoitetaan valtionhallinnon organisaatioita kehittämään tietoturvatoimintaansa laaja-alaisesti ja huolehtimaan tietoturvallisuudesta kaikessa yhteistyössä palveluiden tuottajien ja muiden sidosryhmien kanssa.
Opinnäytetyön tavoitteena on luoda toimintasuunnitelma Helsingin poliisilaitokselle, joka mahdollistaa tavoittamaan valtionhallinnon tietoturvallisuudelle asetetut korkean tason tavoitteet. Tietoturvallisuustasot valtionhallinnossa on luokiteltu kolmeen eri tasoon: perustaso, korotettu taso ja korkea taso. Tasoille on VAHTI-ohjeen liitteessä 5 määritetty yksityiskohtaiset vaatimukset, jotka organisaation tulisi toteuttaa.
Keskeiset vaatimukset tietoturvallisuustyön toteuttamiselle ovat valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010), jossa säädetään viranomaisten asiakirjojen käsittelyä koskevista tietoturvallisuuden velvoitteista, sekä asiakirjojen luokittelun perusteista ja luokiteltujen asiakirjojen käsittelyn tietoturvallisuusvelvoitteista. Asetuksen täytäntöönpanoa varten on annettu ohje: Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI 2/2010).
Tutkimuksessa oletettiin, että tietoturvallisuusvastaavat ovat saaneet koulutusta tietoturvallisuudesta. Tutkimuksen tarkoituksen oli myös selvittää poliisilaitoksien tietoturvallisuusvaatimuksista käytettyjä menetelmiä ja prosesseja. Tutkimus toteutettiin kyselylomakkeella, joka lähetettiin poliisi-laitoksien tietoturvavastaaville asiantuntijoille. Kyselyllä saatuja tietoja käytettiin toimintasuunnitelmassa olevien prosessien kehittämiseen. Opinnäytetyössä käytettävä menetelmä on kvalitatiivinen, eli laadullinen tutkimus. Työssä esiintyy laadulliselle tutkimukselle tyypillisiä piirteitä, kuten esimerkiksi se, että tieto on hankittu kokonaisvaltaisesti luonnollisista ja todellisista tilanteista, tutkimuksen kohdejoukko on valittu tarkoituksenmukaisesti, sekä tapauksia käsitellään ainutlaatuisina ja tulkitaan aineistoa sen mukaisesti.
Tutkimusta tehdessä selvisi, että tietoturvallisuudesta vastaavien asiantuntijoiden koulutus on korkealla tasolla, mutta tietoturvallisuuskriteereiden vaatimukset antavat tulkinnallista varaa. Tämä aiheuttaa eriäväisyyden omien prosessien arvioinnissa. Poliisiorganisaatiolle olisi tarve saada räätälöidyt yhtenäiset vaatimukset tietoturvallisuudelle, jotka perustuvat valtiohallinnon tietoturvallisuusvaatimuksiin. Näin tulokset olisivat vertailukelpoisia kaikkien poliisilaitoksien kesken. Vaikka jokainen poliisilaitos arvioi omaa toimintaa, niin standardisoitu auditointityökalu mahdollistaisi ja helpottaisi työskentelyä vähentäen tulkinnallista arvioita omasta toiminnasta.
Asiasanat: tietoturva, valtionhallinto, tietoturvakoulutus
Opinnäytetyön tavoitteena on luoda toimintasuunnitelma Helsingin poliisilaitokselle, joka mahdollistaa tavoittamaan valtionhallinnon tietoturvallisuudelle asetetut korkean tason tavoitteet. Tietoturvallisuustasot valtionhallinnossa on luokiteltu kolmeen eri tasoon: perustaso, korotettu taso ja korkea taso. Tasoille on VAHTI-ohjeen liitteessä 5 määritetty yksityiskohtaiset vaatimukset, jotka organisaation tulisi toteuttaa.
Keskeiset vaatimukset tietoturvallisuustyön toteuttamiselle ovat valtioneuvoston asetuksessa tietoturvallisuudesta valtionhallinnossa (681/2010), jossa säädetään viranomaisten asiakirjojen käsittelyä koskevista tietoturvallisuuden velvoitteista, sekä asiakirjojen luokittelun perusteista ja luokiteltujen asiakirjojen käsittelyn tietoturvallisuusvelvoitteista. Asetuksen täytäntöönpanoa varten on annettu ohje: Ohje tietoturvallisuudesta valtionhallinnossa annetun asetuksen täytäntöönpanosta (VAHTI 2/2010).
Tutkimuksessa oletettiin, että tietoturvallisuusvastaavat ovat saaneet koulutusta tietoturvallisuudesta. Tutkimuksen tarkoituksen oli myös selvittää poliisilaitoksien tietoturvallisuusvaatimuksista käytettyjä menetelmiä ja prosesseja. Tutkimus toteutettiin kyselylomakkeella, joka lähetettiin poliisi-laitoksien tietoturvavastaaville asiantuntijoille. Kyselyllä saatuja tietoja käytettiin toimintasuunnitelmassa olevien prosessien kehittämiseen. Opinnäytetyössä käytettävä menetelmä on kvalitatiivinen, eli laadullinen tutkimus. Työssä esiintyy laadulliselle tutkimukselle tyypillisiä piirteitä, kuten esimerkiksi se, että tieto on hankittu kokonaisvaltaisesti luonnollisista ja todellisista tilanteista, tutkimuksen kohdejoukko on valittu tarkoituksenmukaisesti, sekä tapauksia käsitellään ainutlaatuisina ja tulkitaan aineistoa sen mukaisesti.
Tutkimusta tehdessä selvisi, että tietoturvallisuudesta vastaavien asiantuntijoiden koulutus on korkealla tasolla, mutta tietoturvallisuuskriteereiden vaatimukset antavat tulkinnallista varaa. Tämä aiheuttaa eriäväisyyden omien prosessien arvioinnissa. Poliisiorganisaatiolle olisi tarve saada räätälöidyt yhtenäiset vaatimukset tietoturvallisuudelle, jotka perustuvat valtiohallinnon tietoturvallisuusvaatimuksiin. Näin tulokset olisivat vertailukelpoisia kaikkien poliisilaitoksien kesken. Vaikka jokainen poliisilaitos arvioi omaa toimintaa, niin standardisoitu auditointityökalu mahdollistaisi ja helpottaisi työskentelyä vähentäen tulkinnallista arvioita omasta toiminnasta.
Asiasanat: tietoturva, valtionhallinto, tietoturvakoulutus