Katakri
Katakri 2020

Turvallisuusluokitellun tiedon suojaaminen ei ole vain tietotekninen kysymys. Tieto voi vaarantua yhtä hyvin puutteellisen käyttöoikeushallinnan, huolimattoman keskustelun, suojaamattoman toimitilan, väärin käsitellyn paperiasiakirjan kuin tietojärjestelmään kohdistuvan kyberhyökkäyksen seurauksena. Siksi turvallisuuden arvioinnissa tarvitaan kokonaisvaltaista mallia, joka yhdistää johtamisen, henkilöstön, toimitilat, asiakirjojen käsittelyn ja tekniset järjestelmät.
Suomessa tätä tarkoitusta palvelee Katakri eli kansallinen turvallisuusauditointikriteeristö. Katakri on viranomaisten auditointityökalu, jolla voidaan arvioida yritysen kykyä suojata kansallista tai kansainvälistä turvallisuusluokiteltua tietoa. Sitä voidaan käyttää yritysturvallisuusselvityksissä, viranomaisten tietojärjestelmien turvallisuuden arvioinneissa sekä yrityksen oman turvallisuustoiminnan kehittämisessä. Katakrin perusteella toteutettua yritysturvallisuusselvitystä voidaan hyödyntää sekä kotimaisissa että kansainvälisissä hankkeissa.
Katakrin keskeinen merkitys perustuu siihen, että se kokoaa yhteen voimassa olevasta kansallisesta lainsäädännöstä ja Suomea sitovista kansainvälisistä tietoturvallisuusvelvoitteista johdetut vähimmäisvaatimukset. Katakri ei kuitenkaan itsessään ole laki eikä se aseta lainsäädännöstä riippumattomia ehdottomia vaatimuksia. Se toimii käytännön arviointikehyksenä, jonka avulla oikeudelliset ja kansainväliset velvoitteet voidaan muuttaa tarkastettaviksi turvallisuusjärjestelyiksi.
SecMeter tarjoaa yrityksille Katakri 2020 -kriteeristöön perustuvan itsearviointityökalun Katakri-valmiuden arviointiin. Katakri on viranomaisten auditointityökalu, mutta sitä voidaan käyttää myös yrityksen turvallisuustyön ja sen kehittämisen tukena. SecMeterin työkalut ovat itsenäisiä itsearviointivälineitä, eivätkä niiden tuottamat tulokset merkitse viranomaisen suorittamaa auditointia, hyväksyntää, lausuntoa tai sertifiointia.
SecMeter TSAT Katakri 2020 -arviointityökalu on helppokäyttöinen, täytettävä PDF-lomake, jonka käyttö ei edellytä ohjelmistoasennuksia tai erityistä menetelmäkoulutusta. Arviointityökalu muodostaa käyttäjän antamien vastausten perusteella automaattisen yhteenvedon ja arviointiraportin. Sisältää lomakkeen sisäisiä Java scriptejä. Käyttö konsultointiliiketoiminnasa on kelletty. Valtionhallinnossa tiedonhallintalaki sekä organisaatioiden omat tietoturvakäytännöt voivat edellyttää, että ulkopuolelta ladattavat tiedostot tarkastetaan tai avataan suojatussa ympäristössä ennen niiden käyttöä sisäverkossa.
Copyright © SecMeterTM 2007
Katakrin rakenneKatakri jakautuu kolmeen toisiaan täydentävään osa-alueeseen: turvallisuusjohtamiseen, fyysiseen turvallisuuteen ja tekniseen tietoturvallisuuteen. Jako korostaa sitä, ettei turvallisuus synny yksittäisestä laitteesta, lukosta tai ohjeesta, vaan useiden samanaikaisesti toimivien suojauskerrosten kokonaisuudesta.Turvallisuusjohtamisen eli T-osa-alueen tarkoituksena on varmistaa, että yrityksellä on toimiva turvallisuuden hallintajärjestelmä. Siihen kuuluvat johdon hyväksymät turvallisuusperiaatteet, määritellyt vastuut, riskienhallinta, turvallisuusohjeistus, henkilöstön koulutus, poikkeamien hallinta ja käsittelyoikeuksien valvonta. Turvallisuusjohtaminen luo perustan kaikille muille turvatoimille. Jos vastuita ei ole määritelty tai johto ei seuraa turvallisuustoiminnan toteutumista, teknisesti laadukkaatkaan ratkaisut eivät välttämättä säily tehokkaina.Fyysisen turvallisuuden eli F-osa-alueen kohteena ovat toimitilat, turvallisuusalueet, kulunvalvonta, rakenteellinen suojaus, vierailijoiden hallinta, säilytysratkaisut sekä paperimuotoisten ja sähköisten tietovälineiden käsittely. Fyysisen turvallisuuden tavoitteena on ehkäistä, estää ja havaita luvaton pääsy turvallisuusluokiteltuihin tietoihin sekä viivyttää mahdollista tunkeutujaa niin, että tilanteeseen voidaan reagoida.Teknisen tietoturvallisuuden eli I-osa-alue käsittelee tietoverkkojen rakennetta, järjestelmien erottelua, käyttöoikeuksia, tunnistamista, järjestelmäkovennusta, haittaohjelmasuojausta, lokitietoja, salausratkaisuja, etäkäyttöä, haavoittuvuuksien hallintaa, varmuuskopiointia ja sähköisten tietojen tuhoamista. Teknisten kontrollien tulee suojata tiedon luottamuksellisuuden lisäksi sen eheyttä ja saatavuutta koko tietojärjestelmän elinkaaren ajan.Riskiperusteisuus Katakrin lähtökohtanaKatakria ei ole tarkoitettu mekaaniseksi tarkastuslistaksi, jossa kaikki yritykset toteuttavat täsmälleen samanlaiset ratkaisut. Sen lähtökohtana on riskiperusteisuus. Suojattavan tiedon turvallisuusluokka, määrä, käsittelyaika, käyttöympäristö, järjestelmien kytkennät, uhkatoimijat ja toiminnan kriittisyys vaikuttavat siihen, millainen suojauskokonaisuus on riittävä.Erityisesti fyysisessä turvallisuudessa suojatoimien valinnan on perustuttava riskien arviointiin. Yrityksen tulee osoittaa, että valitut turvatoimet vastaavat tunnistettuja riskejä ja että jäljelle jäävä jäännösriski voidaan hyväksyä. Yksittäistä rakennetta, lukkoa tai hälytysjärjestelmää ei siten arvioida täysin irrallaan muusta kokonaisuudesta. Heikompaa yksittäistä suojausta voidaan joissakin tilanteissa kompensoida muilla toimenpiteillä, jos muodostuva kokonaisuus tarjoaa vähintään vastaavan suojaustason.Katakrin toteutusesimerkit eivät myöskään yleensä ole ainoita sallittuja toteutustapoja. Ne kuvaavat ratkaisuja, joilla hyväksyttävä vähimmäistaso voidaan useissa ympäristöissä saavuttaa. Yritys voi toteuttaa vaatimuksen toisella tavalla, jos se pystyy perustelemaan ratkaisun ja osoittamaan sen tehokkuuden. Tämä tekee Katakrista joustavan mutta asettaa samalla yritykselle näyttövelvollisuuden. Poikkeava ratkaisu on kyettävä perustelemaan dokumentoidulla riskienarvioinnilla ja luotettavalla todentamisella.Kansalliset turvallisuusluokatTurvallisuusluokittelu perustuu arvioon siitä, millaista vahinkoa tiedon oikeudeton paljastuminen tai käyttö voisi aiheuttaa suojattavalle edulle. Luokittelu ei siten perustu pelkästään siihen, että tieto koetaan arkaluonteiseksi. Valtioneuvoston asetuksessa asiakirjojen turvallisuusluokittelusta valtionhallinnossa turvallisuusluokat määritellään aiheutuvan vahingon vakavuuden perusteella.
- Turvallisuusluokan I asiakirjaan sisältyvän tiedon paljastuminen voi aiheuttaa erityisen suurta vahinkoa. Sen merkintä on ERITTÄIN SALAINEN eli TL I.
- Turvallisuusluokan II tieto voi aiheuttaa merkittävää vahinkoa, ja sen merkintä on SALAINEN eli TL II.
- Turvallisuusluokan III tieto voi aiheuttaa vahinkoa, ja sen merkintä on LUOTTAMUKSELLINEN eli TL III.
- Turvallisuusluokan IV tiedon paljastuminen voi aiheuttaa lievää vahinkoa, ja sen merkintä on KÄYTTÖ RAJOITETTU.
Kansainvälisissä yhteyksissä näitä vastaavat yleisesti merkinnät TOP SECRET, SECRET, CONFIDENTIAL ja RESTRICTED.Turvallisuusluokittelu on erotettava yleisestä salassapidosta. Kaikki salassa pidettävä tieto ei automaattisesti ole turvallisuusluokiteltua tietoa. Asiakirjan julkisuus ja salassapito ratkaistaan erityisesti julkisuuslain perusteella, kun taas turvallisuusluokittelu koskee tiedonhallintalain tarkoittamia suojattavia etuja ja niiden suojaamiseksi tarvittavia erityisiä käsittelyvaatimuksia. Turvallisuusluokka ilmaisee ennen kaikkea sen, millaista suojaustasoa asiakirjan koko elinkaaren aikana tarvitaan.Luokittelun tulee olla perusteltua ja oikeasuhtaista. Liian matala luokka voi johtaa riittämättömiin suojatoimiin ja tiedon vaarantumiseen. Liian korkea luokka puolestaan voi vaikeuttaa tarpeellista tiedonkulkua, kasvattaa kustannuksia ja kuormittaa turvallisuusjärjestelyjä. Hyvä luokittelupäätös yhdistää tiedon sisällön, mahdollisen vahingon, käyttöympäristön ja tiedon elinkaaren.Turvallisuusluokan vaikutus käsittelyynTurvallisuusluokka ei ole pelkkä asiakirjan yläreunaan tehtävä merkintä. Se vaikuttaa siihen, kuka tietoa saa käsitellä, missä tietoa voidaan käsitellä, millaisissa järjestelmissä se voidaan tallentaa, miten se voidaan siirtää ja kuinka se on lopulta tuhottava.Käsittelyoikeus voidaan antaa vain henkilölle, jolla on tehtäviinsä perustuva tiedonsaantitarve. Tätä kutsutaan kansainvälisissä yhteyksissä need-to-know-periaatteeksi. Pelkkä turvallisuusselvitys tai asema yrityksessä ei anna yleistä oikeutta kaikkiin saman turvallisuusluokan tietoihin. Henkilöllä tulee olla sekä tarvittava luotettavuus että todellinen työtehtävään liittyvä tarve juuri kyseiseen tietoon. Turvallisuusluokkien I–III käsittelyoikeuksista on lisäksi pidettävä ajantasaista luetteloa.Turvallisuusluokka ohjaa myös tilojen käyttöä. Kansallisessa järjestelmässä erotetaan hallinnolliset alueet ja turva-alueet. Hallinnollisella alueella on näkyvästi määritelty raja, ja itsenäinen pääsy on rajattu valtuutetuille henkilöille. Turva-alueella rajojen tulee olla suojattuja, kaikkea kulkua valvotaan ja itsenäinen pääsy annetaan vain henkilöille, joiden luotettavuus on varmistettu ja joilla on erityinen lupa.Teknisissä järjestelmissä luokka vaikuttaa esimerkiksi verkkojen erotteluun, salaukseen, tunnistamisen vahvuuteen, lokitukseen, hajasäteilyn hallintaan ja järjestelmän hyväksyntätarpeeseen. Mitä korkeampaa turvallisuusluokkaa järjestelmässä käsitellään, sitä vahvemmin yrityksen on pystyttävä osoittamaan, että järjestelmän käyttäjät, laitteet, tietoliikenneyhteydet ja ylläpitomenettelyt ovat luotettavia.Nato-tiedon turvallisuusluokatSuomen Nato-jäsenyyteen liittyvässä toimintaympäristössä Katakrin kansainvälinen merkitys on kasvanut. Käyttäjän toimittama Katakri 2020:n liite IV käsittelee Naton turvallisuusluokitellun tiedon suojaamista. Liite hyväksyttiin osaksi Katakria vuonna 2023, ja sen tavoitteena on kuvata erityisesti kansallisten, Euroopan unionin ja Naton turvallisuusvaatimusten välisiä eroja. Liitteen mukaan Naton turvallisuustoimisto oli jo vuoden 2022 tarkastuksessa pitänyt Katakri 2020:ta käyttökelpoisena työkaluna Naton turvallisuussääntöjen toteuttamiseen ja arvioimiseen.Naton varsinaiset turvallisuusluokat ovat NATO RESTRICTED, NATO CONFIDENTIAL, NATO SECRET ja COSMIC TOP SECRET. Katakri ja sen Nato-liite käsittelevät pääasiassa kolmen ensimmäisen luokan suojaamista. COSMIC TOP SECRET -tietoon sovellettavat lisävaatimukset on rajattu liitteen ulkopuolelle tiedon vähäisen ja tapauskohtaisen käsittelytarpeen vuoksi. Niistä on sovittava erikseen kansallisen turvallisuusviranomaisen tai muun toimivaltaisen turvallisuusviranomaisen kanssa.NATO UNCLASSIFIED ei ole Naton turvallisuusluokka samassa merkityksessä kuin NATO RESTRICTED tai sitä korkeammat luokat. Se tarkoittaa Naton sisäiseen käyttöön tarkoitettua luokittelematonta tietoa. Tällainen asiakirja ei kuitenkaan ole automaattisesti Suomessa julkinen. Asiakirjan sisältö on arvioitava myös Suomen julkisuuslainsäädännön perusteella, ja se voi kansallisesti olla salassa pidettävää, vaikka Nato ei olisi turvallisuusluokitellut sitä.Naton turvallisuusalueet ja KatakriNaton fyysisten turvallisuusalueiden järjestelmä muistuttaa Suomen ja Euroopan unionin mallia, mutta siinä on tarkempia käyttötapaan liittyviä erotteluja. Katakrin hallinnollinen alue vastaa Naton Administrative Zone -aluetta. Katakrin turva-alue voi puolestaan toteutustavasta riippuen vastata joko NATO Class I Security Area- tai NATO Class II Security Area -aluetta. Lisäksi Katakrin teknisesti suojattu turva-alue vastaa Naton Technically Secure Area -mallia.Class I- ja Class II -alueiden keskeinen ero ei suoraan perustu siellä käsiteltävän tiedon turvallisuusluokkaan. Class I -alueelle pääsy merkitsee samalla pääsyä alueella avoimesti käsiteltäviin tai säilytettäviin turvallisuusluokiteltuihin tietoihin. Class II -alueella henkilön pääsy alueelle ei vielä anna pääsyä siellä säilytettyyn tietoon, vaan asiakirjat ja laitteet suojataan erillisillä säilytys- ja käyttöjärjestelyillä. Liitteen sivujen 8–9 rinnastustaulukot havainnollistavat, kuinka alueen käyttötapa, tiedon avoin käsittely ja säilytysratkaisut määrittävät alueen vaatimukset.NATO RESTRICTED -tietoa voidaan käsitellä hallinnollisella alueella, jos sivullisten pääsy tietoon estetään. NATO CONFIDENTIAL- ja NATO SECRET -tiedon käsittely edellyttää lähtökohtaisesti turva-aluetta. Turvallisuusalueiden ulkopuoliseen NATO RESTRICTED -tiedon käsittelyyn voidaan tietyin ehdoin perustaa tilapäinen hallinnollinen alue esimerkiksi etätyötä varten. Sen perustaminen, tiedon kuljettaminen, päätelaitteen suojaus ja työskentelyolosuhteet on kuitenkin ohjeistettava ja toteutettava Katakrin vaatimusten mukaisesti.Teknisesti suojattua turva-aluetta tarvitaan erityisesti tilanteissa, joissa NATO SECRET -tiedoista keskustellaan säännöllisesti. Tällaisessa tilassa tulee hallita paitsi fyysistä pääsyä myös salakuunteluun, luvattomiin elektronisiin laitteisiin, tekniseen tiedusteluun ja hajasäteilyyn liittyviä riskejä. Tämä osoittaa, että tiedon suojaaminen ei pääty seinään ja lukittuun oveen, vaan arvioinnin tulee kattaa myös tilan tekninen ympäristö.Tietojärjestelmien hyväksyntä ja tekninen turvallisuusNaton turvallisuusluokiteltua tietoa käsittelevän tietojärjestelmän hyväksyntä edellyttää järjestelmän vastuuorganisaatiolta laajaa valmistelutyötä. Liitteen hyväksyntäprosessia kuvaavassa osuudessa valmisteluun kuuluvat esimerkiksi hyväksyntäsuunnitelma, riskienarviointi, järjestelmäkuvaus, järjestelmäkohtainen turvallisuusvaatimusmäärittely, turvallisuustestaussuunnitelma, testausraportti ja turvallisen käytön ohjeet. Näiden pohjalta toimivaltainen viranomainen voi tarkastaa järjestelmän ja antaa sitä koskevan hyväksyntälausunnon.Järjestelmäkohtainen turvallisuusvaatimusmäärittely on tärkeä, koska yleinen kriteeristö ei yksin kuvaa kaikkia yksittäiseen järjestelmään liittyviä uhkia. Vähimmäisvaatimusten lisäksi tarvitaan riskiperusteisia lisävaatimuksia. Tarkoituksena ei ole poistaa kaikkea riskiä, mikä olisi käytännössä mahdotonta, vaan pienentää jäännösriski tasolle, jonka toimivaltainen organisaatio ja hyväksyntäviranomainen voivat perustellusti hyväksyä.Liitteessä korostuvat myös hallintatoimien erottelu, etuoikeutettujen käyttäjätunnusten suojaaminen, järjestelmäkomponenttien ja toimitusketjujen luotettavuus, konfiguraationhallinta, päivitykset sekä sisäpiiririskien hallinta. Tietojärjestelmää ei voida pitää turvallisena vain siksi, että se oli turvallinen käyttöönottohetkellä. Turvallisuutta on ylläpidettävä jatkuvasti koko järjestelmän elinkaaren ajan.Auditointi näyttöön perustuvana toimintanaKatakri-auditoinnin tarkoituksena on tuottaa toimeksiantajalle perusteltu arvio siitä, ovatko valitut turvallisuusvaatimukset todella toteutuneet. Yrityksen oma ilmoitus vaatimuksen täyttymisestä ei yksin riitä. Arvioinnissa tarvitaan todennettavaa näyttöä, kuten hyväksyttyjä politiikkoja, riskirekistereitä, vastuumäärityksiä, koulutusrekistereitä, käyttöoikeusluetteloita, kulunvalvontatietoja, järjestelmäkuvauksia, lokiraportteja, teknisiä asetuksia ja testaustuloksia. Traficomin arviointiohjeen mukaan arvioinnin tehtävänä on selvittää, onko arvioinnin perustaksi valitut tietoturvallisuusvaatimukset toteutettu asianmukaisesti arvioinnin kohteen toiminnassa.Hyvä auditoija ei arvioi vain asiakirjojen olemassaoloa. Hän selvittää, vastaavatko asiakirjat todellista toimintaa. Esimerkiksi käyttöoikeuspolitiikka voi olla asianmukainen, mutta auditoinnissa on tarkastettava myös käytännön käyttöoikeudet, niiden hyväksynnät, katselmoinnit ja poistaminen henkilön tehtävien muuttuessa. Samalla tavalla poikkeamanhallintaohjeen lisäksi tarvitaan näyttöä siitä, että henkilöstö tuntee ilmoitusmenettelyn ja että menettelyä on harjoiteltu.Auditointi ei myöskään saisi jäädä yksittäiseksi tarkastushetkeksi. Turvallisuusympäristö muuttuu jatkuvasti henkilöstömuutosten, uusien järjestelmien, ohjelmistopäivitysten, toimitilamuutosten ja uusien uhkien seurauksena. Siksi vaatimustenmukaisuus on ymmärrettävä jatkuvana kykynä ylläpitää hyväksyttyä turvallisuustasoa.Katakrin vahvuudet ja haasteetKatakrin merkittävin vahvuus on yhteisen kielen luominen viranomaisten, yritysten, tietoteknisten asiantuntijoiden ja fyysisen turvallisuuden toimijoiden välille. Sen avulla lainsäädännölliset velvoitteet voidaan yhdistää käytännön turvallisuustoimiin ja todennettavaan näyttöön. Kansallisten, EU:n ja Naton vaatimusten rinnastaminen vähentää päällekkäistä työtä ja tukee suomalaisten yritysten osallistumista kansainvälisiin hankkeisiin.Katakrin joustavuus on samalla myös haaste. Riskiperusteinen arviointi edellyttää pätevää arvioijaa ja kypsää yritystä. Jos kriteeristöä sovelletaan vain muodollisena tarkastuslistana, huomio voi kiinnittyä yksittäisten asiakirjojen tai teknisten asetusten olemassaoloon turvallisuuden todellisen vaikuttavuuden sijasta. Toisaalta liian vapaa tulkinta voi johtaa siihen, että puutteellisia ratkaisuja perustellaan riskiperusteisuudella ilman riittävää analyysia.Katakrin tehokas käyttö edellyttääkin tasapainoa. Vähimmäisvaatimukset muodostavat perustason, jota ei voida sivuuttaa ilman vahvoja perusteita. Riskienarviointi täydentää tätä perustaa määrittämällä, millaisia lisäsuojauksia tai hyväksyttäviä korvaavia menettelyjä juuri kyseisessä ympäristössä tarvitaan.Katakri on enemmän kuin auditointilomake. Se on kokonaisvaltainen malli, jossa turvallisuusluokitellun tiedon suojaaminen ulottuu organisaation johdosta yksittäiseen käyttäjään, toimitilan ulkorajasta palvelimen asetuksiin ja tiedon luomisesta sen lopulliseen tuhoamiseen.Turvallisuusluokat määrittävät suojauksen tarpeen, mutta Katakri auttaa muuttamaan tämän tarpeen käytännön toiminnaksi. Mitä vakavampaa vahinkoa tiedon paljastuminen voisi aiheuttaa, sitä vahvempia henkilöstöön, tiloihin, järjestelmiin, tiedonsiirtoon ja valvontaan liittyviä toimenpiteitä tarvitaan. Samalla ratkaisut on suhteutettava todellisiin riskeihin ja käyttötarkoituksiin.Nato-liite osoittaa Katakrin kyvyn mukautua muuttuvaan kansainväliseen toimintaympäristöön. Kansallisten ja kansainvälisten turvallisuusluokkien rinnastaminen ei tarkoita, että kaikkien järjestelmien vaatimukset olisivat täysin samanlaisia. Olennaista on ymmärtää tiedon omistajan asettamat velvoitteet, turvallisuusluokan merkitys ja se ympäristö, jossa tietoa käsitellään.Onnistuneessa Katakri-toiminnassa turvallisuus ei ole auditointia varten rakennettu kulissi. Se on johdettu, dokumentoitu, teknisesti toteutettu, henkilöstön ymmärtämä ja jatkuvasti ylläpidetty osa organisaation normaalia toimintaa.