Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmä VAHTI on toiminut noin 20 vuotta. Tänä aika on tehty lukuisa määrä erittäin hyviä tietoturvaan liittyviä ohjeita/oppaita, jotka on esisijaisesti tarkoitettu valtion organisaatioille, mutta jotka soveltuvat suurimmalta osin erittäin hyvin myös muulle julkishallinnolle sekä yrityksille. Kaikki voimassa olevat VAHTI ohjeet löytyvät www.vahtiohje.fi sivustolta.

Vuoden 2016 aikana on valmisteltu muutamia uusia VAHTI ohjeita, joista VAHTI 2/2016 Toiminnan jatkuvuuden hallinta –ohje julkaistiin viime kesänä. Ohjeeseen liittyy myös hyödyllinen Excel-pohjainen vaikutusanalyysityökalu (BIA, Business Impact Analysis), jolla voi kartoittaa ja verrata tietojärjestelmien tai palveluiden kriittisyyttä.

Loppusuoralla uusista VAHTI ohjeista nyt joulukuussa 2016 ovat ”Tietoturvapoikkeamien hallinta”, ”Sähköisen asioinnin tietoturvaohje” sekä riskienhallintaa käsittelevä ohje. Nämä ohjeet valmistuvat viimeistään alkuvuodesta 2017.

Vuoden 2016 aikana VAHTI on uudistanut myös tietoturvallisuussopimusmallia sekä sen käyttöohjetta. Myös tämä sopimuspohja sopii malliksi muillekin toimijoille kuin vain valtion organisaatioille.

EU:n tietosuoja-asetus on ollut koko vuoden merkittävästi esillä myös VAHTI työssä. VAHTI järjesti kesäkuun alussa aiheesta seminaarin ja julkaisi 37 sivuisen raportin ”VAHTI-raportti 1/2016 EU-tietosuojan kokonaisuudistus”. Tämän raportti käsittelee mm. seuraavia asioita:

-          Lainsäädännön tausta

-          Keskeiset termit

-          Rekisteröidyn oikeudet

-          Rekisterinpitäjän velvollisuudet

-          Suosituksia toimenpiteistä

Lokakuussa VAHTI julkaisi Excel-pohjaisen Tietosuojan tukityökalun (TIKU), jolla organisaatio voi arvioida EU:n tietosuoja-asetukseen valmistautumiseen liittyvien asioiden nykytilaa sekä asettaa tavoitteet siitä, millä keinoilla/toimenpiteillä mikäkin osa-alue hoidetaan. Työkalun avulla voidaan myös seurata valittujen toimenpiteiden tilannetta ja kirjata niille aikataulu sekä toteuttaja ja hyväksyjä (RACI mallin R ja A). Työkalussa on myös ”uhka ja riski -osio”, jota voi halutessaan hyödyntää näihin asioihin liittyvien uhkien kirjaamiseen ja niiden vaikutuksen sekä todennäköisyyden arviointiin ja näiden riskien hallintaan/seurantaan.

VAHTI ohjeille on tulossa uusi portaali, jonka beta-versio julkaistiin 13.12.2016 pidetyssä VAHTI päivässä. Uuden portaalin beta-versio on kaikkien käytettävissä osoitteessa https://beta.vahtiohje.fi/ Sivuston sisältö ja osin toiminnallisuus on vielä nyt luonnosvaiheessa.

VAHTI-ohjeiston rakennetta uudistetaan samalla asteittain. Uudessa ohjeistossa pyritään tiedon helpompaan löytämiseen sekä päällekkäisyyksien vähentämiseen samalla kun ohjeiden ja säädösten suhdetta selkeytetään.

Sivusto jakaa kaikki tietoturvaan liittyvät asiat uudella viiden osa-alueen jaottelulla:

-          Johtaminen ja riskienhallinta

-          Toiminnan jatkuvuuden hallinta

-          Turvallisuus kehittämisessä

-          Turvallisuuden ylläpito

-          Seuranta ja arviointi

VAHTI-ohjeita on jatkossa kahta pääluokkaa: vihreitä, säädösten toimeenpanoon liittyviä ohjeita ja harmaita yleisohjeita. Vihreät ohjeet liittyvät tiettyyn säädökseen. Säädös ja siitä johdettu vaatimusteksti merkitään sinisellä värillä. Säädösten ja ohjeiden tueksi kootaan myös keltaisella merkittyä tukimateriaalia. Harmaat ohjeet eivät liity suoraan tiettyihin säädöksiin, mutta ne auttavat tietoturvallisuuden kehittämisessä.

Sivusto sisältää ns. VAHTI-kortteja, joilla tarkoitetaan kokonaisuutta, joka koostuu säädöksestä ja sitä tulkitsevasta vaatimuksesta, ohjeesta liitteineen sekä tukimateriaalista.

Vuoden 2017 aikana sivustolla olevia vaatimuksia täsmennetään ja sivustolle lisätään vaatimuksia täydentäviä ohjeita sekä tukimateriaaleja. Uskon että uudesta sivustosta tulee erinomainen työkalu etsiä tietoturvaan, tietosuojaan, kyberturvallisuuteen, varautumiseen yms. liittyviä vaatimuksia ja ohjeita. Vaikka sivusto ei olekaan vielä valmis, kannattaa siihen tutustua jo nyt.

Tekstin kirjoittaja Juha Koivisto on toiminut VAHTI johtoryhmän jäsenenä 3 vuotta (2014-2016).