VAHTI-ohjeet - Mikä on VAHTI-vaatimustenhallintajärjestelmä?

VAHTI-vaatimustenhallintajärjestelmä on Valtiovarainministeriön asettaman Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) kehittämä joukko ohjeistuksia, määrityksiä ja vaatimuksia, joiden pohjalle tietojärjestelmät ja prosessit tulee rakentaa, jos halutaan käsitellä valtionhallinnon tietoja. 

"Valtiovarainministeriö ohjaa ja yhteensovittaa julkishallinnon ja erityisesti valtionhallinnon tietoturvallisuuden kehittämistä. Ministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä (VAHTI) on hallinnon tietoturvallisuuden ohjaamisen, kehittämisen ja koordinaation elin."

Määritykset pätevät julkis- ja valtionhallinnon organisaatioihin, mutta ulkoistusprojektien yhteydessä myös yksityisiin organisaatioihin. Julkinen sektori voi käyttää eri alojen yrityksiä apuna projekteissa. Tällöin yksityisen yrityksen prosessien ja tiedonhallinnan tulee olla VAHTI-määrityksen mukaisia. Näiden määrityksien toteuttaminen ilman ulkoista apua voi olla haastavaa. VAHTI-määrityksissä on mm. VAHTI-ohje tietosuojaan ja tietoturvaan.

Mitä vaaditaan VAHTI-palveluilta?

• • • • Käyttäjäoikeuksien lupaprosessi.
      • IT-ympäristöä hallinnoivien henkilöiden taustoittaminen.
      • Päätelaitteiden, etätyöskentelyn ja infrastruktuurin korkea tietoturva ja käytettävyys.
      • Kattava tietosuojapolitiikka, sen jalkauttaminen ja riskien arviointi.
      • Eri tasoisen tiedon luokittelu ja sijoittaminen tarpeita vastaavaan järjestelmään

Miksi julkiset pilvipalvelut eivät voi olla VAHTI-yhteensopivia?

Tämä tarkoittaa sitä, että palveluita hallinnoiville henkilöille pitää pystyä tekemään suojelupoliisin henkilöturvallisuusselvitys. Ulkomailta tuotettujen julkisten pilvipalveluiden kohdalla se ei ole lähtökohtaisesti mahdollista. 

"Palvelua voidaan tuottaa mistä tahansa, palvelun tuottamiseen liittyviä henkilöitä ei ole mahdollista nimetä, organisaatio ei voi auditoida palvelua*"

(*VAHTI-dokumentaatio)

VAHTI-ohjeissa on mm. seuraavia asioita:

• • • • Sähköisen asioinnin tietoturvaohje
      • Ohje riskienhallintaan
      • Tietoturvapoikkeamatilanteiden ja toiminnan jatkuvuuden hallinta
      • Ohje salauskäytännöistä
      • Päätelaitteiden, henkilöstön, toimitilojen ja sovelluskehityksen tietoturvaohje
      • Teknisen ympäristön tietoturvataso-ohje
      • ICT -varautumisen vaatimukset
      • Sosiaalisen median tietoturvaohje
      • Sisäverkko-ohje
      • Lokiohje
      • Valtionhallinnon salauskäytäntöjen tietoturvaohje
      • Älypuhelimien tietoturvallisuus – hyvät käytännöt
      • Käyttövaltuushallinnon periaatteet ja hyvät käytännöt
      • Haittaohjelmilta suojautumisen yleisohje
      • Valtionhallinnon etätyön tietoturvallisuusohje

Etevä ja VAHTI-ohjeistus

Olemme Etevällä erikoistuneet ylemmän tason tietoturvaratkaisuihin. Palveluidemme avulla tietoturva taso saadaan VAHTI-vaatimusten mukaiseksi. Tarjoamme muun muassa seuraavia palveluja:

• • • • VAHTI-yhteensopivia IT-järjestelmiä, konesalipalveluita sekä tietohallintoa.
      • Konsultointia organisaation avuksi VAHTI-yhteensopivien ympäristöjen toteuttamiseen.
      • Finanssivalvonnan (FIVA) määräyksiin ja suosituksiin pohjautuvaa konsultointia ja ratkaisujen toteuttamista rahoitusalan yrityksille.

VAHTI-yhteensopivista ratkaisuista hyötyvät organisaatiot, jotka jo toteuttavat valtionhallinnolle projekteja tai haluavat osallistua julkisiin kilpailutuksiin. Voit lukea lisää Valtiovarainministeriön asettaman Valtionhallinnon tietoturvallisuuden johtoryhmän (VAHTI) VAHTI-ohjeistuksesta, joka kattaa kaikki tietoturvallisuuden osa-alueet. VAHTI-ohjeet Valtionvarainministeriön sivuilla.

Lue lisää Etevän VAHTI-palveluista.

Voit myös lukea blogistamme mitä muuta tulisi ottaa huomioon yrityksen tietoturvaa kehityksessä.