2c/2010. Anvisning om verkställighet av förordningen om informationssäkerheten. inom statsförvaltningen VAHTI

Transkript

1 Anvisning om verkställighet av förordningen om informationssäkerheten inom statsförvaltningen Ledningsgruppen för datasäkerheten inom statsförvaltningen 2c/2010 VAHTI

2

3 Anvisning om verkställighet av förordningen om informationssäkerheten inom statsförvaltningen Ledningsgruppen för datasäkerheten inom statsförvaltningen 2c/2010 VAHTI

4 FINANSMINISTERIET PB 28 (Snellmansgatan 1 A) STATSRÅDET Telefon (växeln) Internet: Layout: Pirkko Ala-Marttila/FM, informationen ISSN (hft.) ISBN (hft.) ISSN (pdf) ISBN (pdf) Juvenes Print Finlands Universitetstryckeri Ab, 2013

5 Till ämbetsverkens ledning Syftet med informationssäkerhet inom statsförvaltningen är att trygga kontinuiteten i och kvaliteten på myndighetens verksamhet samt att säkerställa att rättsskyddet förverkligas. I detta dokument ges anvisningar om hur förordningen om informationssäkerheten inom statsförvaltningen (681/2010, nedan informationssäkerhetsförordningen) ska tillämpas. Anvisningen är avsedd för organisationernas ledning samt för dem som ansvarar för verksamhetsprocesserna, säkerheten, informationstjänsterna och informationsförvaltningen. Den allmänna skyldighet myndigheterna inom statsförvaltningen har att trygga informationssäkerheten bygger på lagen om offentlighet i myndigheternas verksamhet (621/1999, nedan offentlighetslagen). Enligt lagen ska en myndighet se till att skyddet, integriteten och kvaliteten i fråga om dess handlingar och datasystem samt dess uppgifter tryggas genom ändamålsenliga förfaranden och informationssäkerhetsarrangemang med beaktande av uppgifternas betydelse och ändamål samt de riskfaktorer som riktar sig mot handlingarna och datasystemen samt de kostnader som orsakas av datasäkerhetsåtgärderna (18 2 mom. 4 punkten). Statsrådets förordning om informationssäkerheten av den 1 juli 2010 som stöder sig på offentlighetslagen tillämpas på myndigheter inom statsförvaltningen. Med dem avses statsförvaltningsmyndigheter och andra statliga ämbetsverk och inrättningar samt domstolar och andra rättskipningsmyndigheter (3 1 punkten). Genom förordningen upphävdes 2 och 3 i förordningen om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999, nedan offentlighetsförordningen). Informationssäkerhetsförordningen trädde i kraft den 1 oktober I förordningen ingår övergångsbestämmelser. Enligt dessa ska en myndighets databehandling motsvara de informationssäkerhetskrav på basnivå som anges i 5 i förordningen inom tre år från det att förordningen har trätt i kraft eller senast 30 september Förordningen innehåller bestämmelser om de allmänna informationssäkerhetskraven i fråga om hanteringen av myndigheters handlingar samt krav som gäller klassificeringen av handlingar och motsvarande krav som gäller hanteringen av handlingar. Det är skäl att notera att med handling avses även informationsmaterial som är i elektronisk form eller som i övrigt lagrats i teknisk lagringsform. Regleringen gäller i första hand sekretessbelagda handlingar (8, 9 2 mom. informationssäkerhetsförordningen). Det är enligt förordningen inte obligatoriskt att klassificera handlingar. Myndigheten bör besluta huruvida den tar i bruk klassificering och när detta sker. De krav i fråga om hantering som motsvarar klassificeringen ska realiseras inom 5 år efter att klassificeringen tagits i bruk. Myndigheten har möjlighet att tillämpa klassificeringen endast på vissa hand-

6 lingar eller på sådana hanteringsskeden av handlingen där åtgärder är nödvändiga för det intresse som ska skyddas (8 1 mom. informationssäkerhetsförordningen). Planeringen av hur klassificeringen tas i bruk är viktig. Klassificeringen är tänkt att underlätta utbytet av sekretessbelagd information mellan myndigheter, varför det är synnerligen rekommendabelt att myndigheter som regelbundet och i stor utsträckning antingen får sekretessbelagda handlingar av varandra eller överlåter sådana till varandra tillämpar klassificering. Ämbetsverken ska se till att alla de krav på informationssäkerhetens basnivå som föreskrivs i 5 uppfylls inom den övergångstid på tre år som förutsätts i förordningen. Det är nödvändigt att organisera det utrednings- och beredningsarbete som gäller detta under hösten För genomförande av informationssäkerhetskraven och mer allmänt den goda informationshantering som föreskrivs i offentlighetslagen är det viktigt för myndigheten att säkerställa att de handlingar som myndigheten har i sin besittning är kartlagda och betydelsen av uppgifterna i handlingarna har utvärderats på det sätt som föreskrivs i 1 i offentlighetsförordningen. De informationssäkerhetsrisker som hänför sig till verksamheten har kartlagts och genomförandet av informationssäkerheten har planerats (4, 5 1 mom. 1 punkten informationssäkerhetsförordningen), myndigheten till sitt förfogande har tillräcklig sakkunskap för att garantera informationssäkerheten och att uppgifterna och ansvaret gällande skötseln av informationssäkerheten anges, sekretessen i fråga om handlingarna och uppgifterna i dem samt annat skydd garanteras genom att åtkomst till handlingarna endast ges personer som behöver sekretessbelagda uppgifter eller personuppgifter i personregister för att kunna sköta sina arbetsuppgifter, rätten att få uppgifter och uppgifternas användbarhet i olika situationer tryggas och att förfaranden upprättas för att hantera exceptionella situationer, olovlig ändring av uppgifterna och annan olovlig eller obefogad hantering förhindras genom ändamålsenliga säkerhetsarrangemang och andra åtgärder som rör förvaltningen av användarrättigheterna och övervakningen av användningen samt datanäten, informationssystemen och informationstjänsterna, utrymmena för databehandling och förvaring av handlingar är tillräckligt övervakade och skyddade, det vid behov med hjälp av säkerhetsutredningsförfarande och andra förfaringssätt med stöd av lag som finns att tillgå säkerställs att personalen och övriga personer som sköter uppgifter i anknytning till hanteringen av handlingarna är pålitliga, anvisningar och utbildning om behörig hantering av handlingarna och uppgifterna i dem ges personalen och övriga personer som sköter uppgifter i anknytning till hanteringen av handlingar,

7 det övervakas att de utfärdade anvisningarna följs och att behovet av att ändra dem bedöms regelbundet, arrangemang utförs genom vilka det är möjligt att säkerställa att de uppställda informationssäkerhetskraven iakttas även då databehandlingen av myndighetens handlingar sköts på uppdrag av myndigheten, t.ex. av ett serviceföretag för databehandling (6 informationssäkerhetsförordningen), det säkerställs att tjänstemännen känner till vad klassificeringsanteckningarna betyder och att de inte befriar myndigheten från skyldigheten att bedöma handlingens offentlighet från fall till fall och skilt för varje handling enligt offentlighetslagen och dess praxis då uppgifter ur handlingen begärs med stöd av offentlighetslagen. Informationssäkerhetsförordningen och denna anvisning är en viktig del av verkställigheten av statsrådets principbeslut den 26 november 2009 om utvecklandet av informationssäkerheten inom statsförvaltningen. Denna anvisning ersätter VAHTI:s tidigare anvisningar Valtionhallinnon tietoaineistojen käsittelyn tietoturvallisuusohje (VAHTI 2/2000) och Arkaluonteiset kansainväliset tietoaineistot (VAHTI 4/2002). Denna anvisning är avsevärt mera omfattande än de tidigare.

8 Kort om VAHTI Finansministeriet (FM) leder och samordnar utvecklandet av den offentliga förvaltningens och särskilt statsförvaltningens informationssäkerhet. Ministeriet har tillsatt Ledningsgruppen för datasäkerheten inom statsförvaltningen (VAHTI) som ett organ för samarbete, styrning och utveckling av förvaltningens datasäkerhet. VAHTI behandlar alla viktiga riktlinjer för informationssäkerheten och informationssäkerhetsåtgärder inom statsförvaltningen. VAHTI stödjer med sin verksamhet statsrådet och finansministeriet i beslutsfattandet och beredningen som gäller informationssäkerhetsfrågor. Syftet med VAHTI är att genom utvecklandet av informationssäkerheten förbättra pålitligheten, kontinuiteten, kvaliteten, riskhanteringen och beredskapen inom statsförvaltningens verksamhet samt främja att informationssäkerheten blir en solid del av förvaltningens verksamhet, ledarskap och resultatstyrning. VAHTI främjar verkställandet av regeringsprogrammet, strategin för tryggande av samhällets vitala funktioner (TSVF), statens IT-strategi, statsrådets beslut om målen med försörjningsberedskapen, den nationella informationssäkerhetsstrategin, statsrådets principbeslut om utveckling av statens informationssäkerhet och regeringens övriga centrala linjedragningar genom att utveckla statens informationssäkerhet och med den sammanknutet samarbete. Statsrådet fattade den 26 november 2009 ett principbeslut om utveckling av informationssäkerheten inom statsförvaltningen. Principbeslutet framhäver VAHTI:s roll som ett organ för ledandet, utvecklandet och koordineringen av administrationens informationssäkerhet. Enligt principbeslutet inriktar sektorerna medel och resurser till utvecklandet av informationssäkerheten och till samarbetet som koordineras av VAHTI. VAHTI fungerar som samarbets-, berednings- och styrningsorgan för informationssäkerheten och dataskyddet inom förvaltningen samt främjar utvecklandet av ett nätverksbaserat arbetssätt inom den offentliga förvaltningens informationssäkerhetsarbete. Genom VAHTI:s verksamhet förbättras statens informationssäkerhet, och arbetets effekter kan ses förutom inom förvaltningen även inom företagen och på internationell nivå. Resultatet av VAHTI:s arbete utgörs av omfattande, allmänna datasäkerhetsanvisningar ( och Ministerierna och ämbetsverken har under finansministeriets och VAHTI:s ledning framgångsrikt genomfört flera gemensamma informationssäkerhetsprojekt samt ett omfattande utvecklingsprogram för statens informationssäkerhet. VAHTI har tre gånger fått hederspris för sitt exemplariska arbete med att förbättra datasäkerheten i Finland.

9 Erkännande Följande experter har deltagit i översättningen av Anvisning om verkställighet av förordningen om informationssäkerheten inom statsförvaltningen Karin Gref Arkivverket Matti Huvila Åbo Akademi Timo Juvonen Finansministeriet Annette Kanerva Kommunikationsverket Ulf Pensar Svenska handelshögskolan/vasa Campus Juhani Sillanpää Finansministeriet Anneli Tahvanainen Statsrådets kansli Kuno Öhrman Svenska handelshögskolan

10

11 Innehåll Till ämbetsverkens ledning...5 Kort om VAHTI...8 Erkännande Inledning Syfte och tillämpningsområde Anvisningens uppbyggnad Informationssäkerhetsnivåerna Behandlingen och hanteringen av datamaterial Lagstiftningen och internationella förpliktelser De mest centrala begreppen i anvisningen Säker hantering av information: former och utmaningar, möjligheter och hot Verkställande av förordningen Styrning Utbildning Övervakning Uppföljning Förordningens verkställighet God informationshantering och informationsbehandling Planering av informationshanteringen Kartläggning och hantering av datamaterialet Förtecknande och registrering av datamaterial samt beskrivningar Offentliga och sekretessbelagda handlingar Informationsmaterialets tillgänglighet och användbarhet Krav som gäller personuppgifter Allmänna krav på informationssäkerheten vid informationsbehandling De allmänna kraven på informationssäkerhet i informationssäkehetsförordningen Krav som gäller personalen Grundläggande förutsättningar för informationssäkerhetskulturen Krav på säkerheten i utrymmen Informationssäkerhetskrav som ställs på den datatekniska miljön Krav på den datatekniska miljön och informationstjänster Användningen av intressentgrupper som leverantörer och upprätthållare av datatekniska system och tjänster Grunderna för informationssäkerhetsnivåerna Målsättningar vid fastställande av informationssäkerhetsnivån Objekt som ska skyddas och tekniska skyddsmekanismer Definition och utvärdering av informationssäkerhetsnivån...44

12 6 Krav som ställs på den administrativa informationssäkerheten Utvecklandet av informationssäkerheten Krav på hanteringen av informationssäkerheten (el. informationshanteringskrav) Utvärdering av hanteringen av informationssäkerheten Krav på administration av informationssystem och informationstjänster Utvärdering av administrationen av informationssystem Klassificering av informationsmaterial Handlingar som ska klassificeras och grunderna för klassificeringen Anteckningar om sekretess Skyddsnivåer och anteckningar Gruppering av informationsmaterial i skyddsnivåer Anteckningar om säkerhetsklassificering Säkerhetsklassificering av internationellt informationsmaterial Klassificering av personuppgifter och anteckningar i dem Rekommendationer som gäller klassificeringen av omfattande datalager Krav som ställs på informationens integritet och obestridlighet Krav som ställs på informationens tillgänglighet och användbarhet Krav på hanteringen av klassificerat informationsmaterial Grundläggande krav Skapandet och bearbetningen av informationsmaterial Klassificering och registrering av handlingar samt anteckningar i dem Kopiering Distribution av en handling Avsändning och överföring av en handling och/eller åtkomst till informationen Mottagarens åtgärder Lagring och förvaring av handlingar Åtkomst till information Arkivering av informationsmaterial Uppdatering av handlingarnas skyddsnivå Förstöring av informationsmaterial Beslut om överlåtelse av handling Krypteringens inverkan på hanteringen av informationsmaterial...73 BILAGOR Bilaga 1. Förpliktelser i lagstiftningen...75 Bilaga 2. Stämplar på sekretessbelagda handlingar och uppgifter...76 Bilaga 3. Detaljerade anvisningar till myndigheten för säker hantering av handlingar.77 Bilaga 4. Krav som gäller hanteringen av sekretessbelagda handlingar och uppgifter. 82 Bilaga 5. Detaljerade krav som ställs på olika informationssäkerhetsnivåer...94 Bilaga 6. Ersättande förfarande Bilaga 7. Giltiga VAHTI-publikationer...125

13 13 1 Inledning 1.1 Syfte och tillämpningsområde Syftet med denna anvisning är att främja god informationshantering inom statsförvaltningen och verkställigheten av förordningen om informationssäkerheten inom statsförvaltningen (681/2010, nedan informationssäkerhetsförordningen). I anvisningen beskrivs kraven för att verksamhetsförutsättningarna enligt god informationshantering ska kunna förverkligas inom organisationen. Sådana är bl.a. skyldigheten att planera dataarkiv samt kraven på datanät, informationssystem, verksamhetsutrymmen, dokumentförvaltningen och förvaltningen av användarrättigheterna. Syftet med åtgärderna är att skapa en säker och effektiv arbetsmiljö för alla dem som hanterar informationen i alla skeden av dess livscykel. Målsättningen med informationssäkerhetsförordningen och dessa anvisningar är att skapa förutsättningar för utvecklande av informationssäkerhetsarbetet inom statsförvaltningen och att skapa gemensamma förfaranden för hanteringen av sekretessbelagt informationsmaterial med begränsad användningsrätt. I upprättandet av förordningen har den plan som utarbetats av finansministeriet för verkställandet av olika informationssäkerhetsnivåer inom statsförvaltningen beaktats. Med dess hjälp stärks det utvecklingsarbete som bygger på informationsstyrning och som utförs vid finansministeriets avdelning för utvecklandet av förvaltningen liksom även betydelsen av denna styrning. Reformen är även tänkt att stärka förtroendet hos förvaltningens kunder och intressentgrupper för förvaltningen och dess informationsbehandling samt att skapa ändamålsenliga ramar för utvecklandet av elektronisk ärendehantering och elektroniska tjänster. Genom enhetliga förfaranden skapas förutsättningar för säker hantering av datamaterial tillsammans med myndigheter och producenter av informationsmaterial och parter som hanterar myndighetsinformation för myndighetens räkning. Anvisningen behandlar i synnerhet skydd av sekretessbelagd information. Informationsmaterial hanteras enligt de tekniska och funktionella krav som fastställts för de fyra olika skyddsnivåerna (se kapitel 5). I anvisningen beaktas även andra anvisningar som utgivits av ledningsgruppen för datasäkerheten inom statsförvaltningen (VAHTI) i vilka noggrannare krav för olika skeden av hanteringen och för tekniska eller administrativa funktioner fastställts. Med handlingar avses de handlingar som uppräknas i 5 i offentlighetslagen och som även är informationsmaterial som lagrats i elektronisk form eller annars i form av teknisk

14 14 inspelning. Med informationsmaterial avses i denna anvisning handlingar och uppgifter som är i pappersform eller lagrade på elektroniska eller andra datamedier. I anvisningen definieras kraven för god informationshantering så att de som använder informationsmaterial ska kunna handla enligt de uppställda kraven i alla skeden av hanteringen. I anvisningen ingår instruktioner om klassificering och skydd av handlingar och uppgifter samt krav på säkerhet och rekommenderad praxis i hanteringen under olika skeden av handlingens livscykel. I anvisningen har även de särskilda krav som föreskrivits i personuppgiftslagen (523/1999) om hanteringen av personuppgifter iakttagits. Anvisningen innehåller även krav som gäller hantering av myndighetshandlingar för utomstående serviceproducenters del. I anvisningen beskrivs klassificeringspraxis i fråga om information enligt god informationshantering och behoven att säkerställa informationssäkerheten i synnerhet när det gäller att iaktta sekretess och begränsad användningsrätt samt grunderna för hantering av uppgifter enligt denna klassificering. Därtill har krav som allmänt hör samman med uppgifternas integritet och användbarhet definierats. I anvisningen behandlas kraven på informationssäkerhet i fråga om uppgifter och handlingar både under de olika manuella och elektroniska skedena av hanteringsprocessen. Kraven på informationssäkerhet fastställs i kapitel 4. I anvisningen har speciellt beaktats sakkunnigarbete som inkluderar ärendehantering där handlingar i både pappersformat och i elektronisk form hanteras. Anvisningen rekommenderas till tillämpliga delar för användning även vid rutinmässig informationsbehandling som bygger på användningen av informationssystem och databaser. Innehållet i denna anvisning är allmänt till sin natur. I bilagorna ingår mera detaljerad information om motiveringar till, anteckningar på och hantering av sekretessbelagd information samt särskilda checklistor för olika målgrupper om de skyldigheter som ålagts dem. Avsikten är att de detaljerade förpliktelser som finns i bilaga 4 ska styra verksamheten inom respektive förvaltningsgren. Här betonas förutsättningarna för god informationshantering även då myndighetens information hanteras på olika håll. Ministerierna ser till att personalen inom sina förvaltningsområden utbildas och ger vid behov anvisningar om tillämpningen inom sitt eget förvaltningsområde utifrån denna anvisning. Informationsbehandlingsmiljöerna klassificeras som basnivå, förhöjd nivå och hög nivå i fråga om informationssäkerhet. Samma klassificeringsskala används även för fastställande av nivån på styrsystemet för administrering av informationssäkerheten. Organisationer som hanterar handlingar som gäller internationellt samarbete (t.ex. EU, Nato, OECD) bör beakta alla internationella förpliktelser som gäller informationssäkerhet (se Lagen om internationella förpliktelser som gäller informationssäkerhet, 588/2004). Vid behov ges detaljerad information om dessa förpliktelser av NSA-enheten vid utrikesministeriet. Varje organisation preciserar kraven i sina egna anvisningar enligt de behov verksamheten och kraven på informationssäkerheten ställer. Mera detaljerade anvisningar och beskrivningar framgår bl.a. av beskrivningarna av informationssystem, bruksanvisningarna

15 15 och arkivbildningsplanen samt i fråga om personuppgifterna i register- eller dataskyddsbeskrivningarna. Ministerier, ämbetsverk och inrättningar ska se till att personalen utbildas i hanteringen av datamaterial enligt anvisningarna. Utvärderingen av innehållet i, klassificeringen och hanteringen av handlingar ska för att garantera informationssäkerheten ske som en del av säkerställandet av verksamheten och dess kvalitet och kontinuitet. 1.2 Anvisningens uppbyggnad Anvisningen består av sex huvudkapitel och sex bilagor. I det första huvudkapitlet behandlas syftet och målsättningarna med anvisningen. Det andra huvudkapitlet beskriver de delar som gäller verkställigheten av anvisningen. I det tredje huvudkapitlet presenteras förutsättningarna för god informationshantering och databehandling vid hantering av informationsmaterial. Denna del är utformad som en förteckning. I det fjärde huvudkapitlet presenteras krav på åtgärder som för myndigheterna möjliggör en säker hantering av handlingar. I det femte huvudkapitlet presenteras de krav och förpliktelser som gäller klassificeringen av och anteckningarna på informationsmaterial. I det sjätte huvudkapitlet framförs de krav som gäller hanteringen av informationsmaterial i olika skeden av hanteringen. Frågorna behandlas på allmän nivå och alla skeden i livscykeln beaktas. I bilagorna preciseras innehållet i textdelen. Förteckningen över författningar finns i bilaga 1. I bilaga 2 finns de stämplar och anteckningar som behövs på sekretessbelagt informationsmaterial. I bilaga 3 ges myndigheterna anvisningar om de åtgärder som behövs för att ett säkert arbete med informationen ska kunna bli möjligt. Anvisningar om hanteringen av handlingar enligt skyddsnivån finns i bilaga 4, kraven på informationssäkerhetsnivåerna i bilaga 5 och ersättande förfaranden i bilaga 6. Anvisningen är avsedd att användas i vid utsträckning inom förvaltningen i olika verksamheter, processer, tjänster, system, handlingar och i anskaffningar. De olika kapitlen i anvisningen ger även användarna bra tilläggsinformation. 1.3 Informationssäkerhetsnivåerna Med hjälp av informationssäkerhetsnivåerna fastställs tekniska och administrativa krav på organisationen och informationsbehandlingsmiljöerna. Informationssäkerhetsnivåerna beskriver krav på informationssäkerhetsåtgärderna och -processerna som ska vidtas i varje organisation inom statsförvaltningen. Förpliktelsen att uppfylla kraven har tidigare inte inkluderats i lagstiftningen, men implementeringen av dem har kunnat förutsättas på annat sätt. En del av dessa krav ingår redan i myndigheternas skyldighet att iaktta god informationshantering. Även Statens IT-servicecentral kan förutsätta att kunderna uppfyller de krav som olika informationssäkerhetsnivåer ställer.

16 16 Informationssäkerheten i informationsbehandlingsmiljöerna och förvaltningen indelas i tre nivåer: basnivå, förhöjd nivå och hög nivå. Den lägsta tillåtna nivån för en myndighets informationsbehandlingsmiljö är basnivån. I denna miljö kan information som förutsätter skyddsnivå IV genom beslut av den myndighet som har behörighet till informationsinnehållet behandlas i okrypterad form (se kapitel 7.4). I informationsbehandlingsmiljöer med förhöjd informationssäkerhetsnivå kan information upp till skyddsnivå III behandlas i okrypterad form med motsvarande behörighet. På motsvarande sätt kan information upp till skyddsnivå II behandlas i okrypterad form i miljöer som uppfyller kraven för hög informationssäkerhetsnivå. Kraven för informationssäkerhetsnivåerna är uppdelade i två grupper: krav som gäller (1) administrativ informationssäkerhet och (2) teknisk informationssäkerhet. Informationssäkerhetsnivåerna behandlas noggrannare i kapitlen 5 och 6 samt i bilaga 5. En myndighet kan säkerställa informationssäkerhetsnivån i sina system genom att använda olika utvärderingsmetoder. Sådana är självutvärdering som utförs av myndigheten själv samt auditering av informationssäkerheten som erbjuds av företag och myndigheter. Med dessa metoder bedöms nivån på myndighetens informationssäkerhet i förhållande till förordningen om informationssäkerheten inom statsförvaltningen och dessa anvisningar eller, om det är fråga om hantering av EU-handlingar, i förhållande till EU:s säkerhetsregler. En separat VAHTI-anvisning för förvaltningens interna nätverk har utarbetats gällande kraven på informationssäkerhetsnivåerna (3/2010). 1.4 Behandlingen och hanteringen av datamaterial Informationens betydelse i samhället och i myndigheternas verksamhet blir allt större. Myndigheternas målsättningar för verksamheten ställer stora krav på hanteringen av informationen. Förverkligandet av god informationshantering förutsätter att informationens livscykel kan hanteras. Livscykeln hanteras genom en arkivbildningsplan som föreskrivs i arkivlagen (831/1994). Vid behandlingen av personuppgifter ska personuppgiftslagen och dess bestämmelser om bl.a. aktsamhetsplikt och god informationshantering beaktas. Myndigheten ska utvärdera hur uppdaterade dataarkiven och de informationssystem som använder dataarkiven samt behandlingsprocesserna är. I utvärderingen av behandlingen av datamaterialet ska uppmärksamhet fästas vid hur de krav som presenteras i VAHTI-anvisningen Tietoturvallisuuden arviointi valtionhallinnossa (VAHTI 8/2006) uppfylls.

17 1.5 Lagstiftningen och internationella förpliktelser 17 Vid hanteringen av sekretessbelagda handlingar bör särskild aktsamhet iakttas. Dessa förpliktelser ingår i offentlighetslagen. Om sekretessbrott begånget av en tjänsteman eller av en person anställd inom ett offentligt samfund stadgas i 40 kapitlet i strafflagen och om andra personers sekretessbrott och -förseelser stadgas i 38 kapitlet i strafflagen. Enligt offentlighetslagen är en myndighets handlingar offentliga, om inte annat föreskrivs i lag. Begreppet handling är omfattande i offentlighetslagen och gäller även olika tekniska inspelningar (5 ). De vanligaste grunderna för sekretess finns i 24 i offentlighetslagen. Specialbestämmelser ingår därtill i viss mån i övrig lagstiftning. Enligt offentlighetslagen ska varje handlings offentlighet utredas från fall till fall då någon begär att få se en handling eller att få en kopia av den. I 17 i offentlighetslagen ges tolkningsanvisningar: sekretessen ska inte utsträckas vidare än vad det intresse som skyddas kräver. Om bara en del av handlingen är sekretessbelagd ska myndigheten ge ut de uppgifter ur handlingen som inte är sekretessbelagda (10 ). Myndigheten ska fatta ett beslut i det fall en handling inte lämnas ut. Myndigheten ska noggrant motivera beslutet att vägra lämna ut handlingen. Tilläggsinformation om hur offentlighetslagen tillämpas finns på justitieministeriets webbsidor (Grundläggande stadganden, Offentlighetslagen, justitieministeriets brev till ministerierna om offentlighetslagstiftningens verkställighet och delrevideringen jämte bilagor). Bestämmelserna om god informationshantering som ingår i offentlighetslagen (18 ) förutsätter bland annat, att myndigheten ger personalen anvisningar om hur offentlighetslagen verkställs. Uppgifter om innehållet i en handling får enligt lagen lämnas ut endast av myndigheten eller den tjänsteman som uttryckligen har givits denna rättighet enligt arbetsordningen eller på annat motsvarande sätt. Uppgift Om en handling, som enligt 6 och 7 i offentlighetslagen ännu inte omfattas av offentlighetsbedömning (handlingar som enligt prövning är offentliga) får ges av myndigheten eller enligt myndighetens allmänna instruktioner t.ex. av den tjänsteman som bereder ärendet. Observera att myndigheten enligt 19 i offentlighetslagen muntligen ska ge uppgifter om vissa ärenden som är under beredning. Klassificeringen av handlingar och införande av motsvarande anteckningar på handlingar i syfte att säkerställa informationssäkerheten ändrar inte den ovan beskrivna skyldigheten att bedöma handlingens offentlighet separat och från fall till fall då någon begär att få handlingen. Det enda undantaget från denna regel utgörs av handlingar med anteckningar om säkerhetsklassificering som gjorts i enlighet med lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004). Vid hanteringen av handlingar som omfattas av lagen om internationella förpliktelser som gäller informationssäkerhet iakttas internationella bestämmelser som gäller Finland och som bygger på bilaterala eller multilaterala avtal eller EU-rättsakter.

18 18 Centrala författningar och anvisningar som gäller hantering av material: Lagar och internationella linjedragningar: Valtionhallinnon tietoturvallisuuden ohjeistusta: Arkivlagen (831/1994) 7, 8, 4 kap. Tietoturvallisuus ja tulosohjaus (VAHTI 2/2004 luku 4.2) Personuppgiftslagen (523/1999) Keskeisten tietojärjestelmien turvaaminen (VAHTI 5/2004, luku 5) Lag om offentlighet i myndigheternas verksamhet (621/1999) 1, 3, 10, 5 kap., 6 kap, 7 kap. Förordning om offentlighet och god informationshantering i myndigheternas verksamhet (1030/1999) 1 Statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010). Lag om internationella förpliktelser som gäller informationssäkerhet (588/2004) Statsrådets principbeslut Om informationssäkerheten inom statsförvaltningen, FM 0024:00/02/99/1998 Tietoturvallisuuden hallintajärjestelmän arviointisuositus (VAHTI 3/2003 luku 2) Tietoturvallisuuden arviointi valtionhallinnossa (VAHTI 8/2006 Liite 3) Tietoturvapoikkeamatilanteiden hallinta (VAHTI 3/2005, luku 2.1.1) Beredskapslag (1080/1991) Kansainvälinen tietoturvatyö (VAHTI 1/2007) Lag om dataskydd vid elektronisk kommunikation (516/2004), Lokien käsittelyohje (VAHTI 3/2009) 2 kap., 3 kap., 5 kap. Lag om säkerhetsutredningar (177/2002) Henkilöstöturvallisuusohje (VAHTI 2/2008) Valtion viraston ja laitoksen sekä rahaston sisäinen valvonta ja riskienhallinta, sidorna 24, 33, VM 2005 Tietotekniikan turvallisuus ja toiminnan varmistaminen (PTS 1/2002, luku 3.2) För att införa och genomföra en god informationshantering skall en myndighet se till att dess handlingar och datasystem samt uppgifterna i dem är behörigen tillgängliga, användbara, skyddade och integrerade samt sörja även för andra omständigheter som påverkar kvaliteten på uppgifterna. Lag om offentlighet i myndigheternas verksamhet, 18 Ledningen för informationssäkerheten är fast förknippad med ledningen av organisationen. Den bör således ingå i ansvaret hos alla personer i ledningsuppgifter. Informationssäkerheten kan lättast tillgodoses om den är inbyggd i organisationens planeringsprocesser (utveckling av verksamheten), kvalitets- och övriga uppföljningsprocesser (utvärdering, mätning) samt i uppföljningen av hur målen uppnås. Tietotekniikan turvallisuus ja toiminnan varmistaminen, PTS 2002 Ledningen bör vara medveten om nivån på informationssäkerheten inom organisationen och läget i fråga om hanteringen av informationssäkerhetsrisker. Då bör man vara på det klara med utgångsläget för informationssäkerheten, dess betydelse för verksamheten och för respektive funktion i förhållande till ur kritisk funktionen är. Utvecklandet av informationssäkerheten förutsätter ett utvecklingsprogram med ett uppställt mål och uppföljning av programmet. Tietoturvallisuuden hallintajärjestelmän arviointisuositus, VAHTI 3/2003, kapitel2

19 1.6 De mest centrala begreppen i anvisningen 19 Handling: Med handling avses utom en framställning i skrift eller bild även ett meddelande som avser ett visst objekt eller ärende och uttrycks i form av tecken som på grund av användningen är avsedda att höra samman och vilket kan uppfattas endast med hjälp av automatisk databehandling eller en ljud- eller bildåtergivningsanordning eller något annat hjälpmedel (5 1 mom. i offentlighetslagen; se även 3 3 mom. i informationssäkerhetsförordningen). Begreppet handling är således oberoende av på vilket underlag (plattform) eller hur informationen lagrats. Med handling avses således förutom traditionella pappershandlingar även handlingar som lagrats elektroniskt, oberoende av form. Handlingens innehavare: Den organisation eller person i vars besittning handlingen är. Upprättaren av en handling: Den organisation eller person som har upprättat handlingen. Personregister: Enligt 3 3 mom. i personuppgiftslagen avses med personregister en datamängd som innehåller personuppgifter och som består av anteckningar som hör samman på grund av sitt användningsändamål, och som helt eller delvis behandlas med automatisk databehandling eller har ordnats som ett kartotek, en förteckning eller på ett annat motsvarande sätt så att information om en bestämd person kan erhållas med lätthet och utan oskäliga kostnader (ett s.k. logiskt registerbegrepp). Syftet med behandlingen av personuppgifter bör definieras så att det framgår för vilka registerföraruppgifter personuppgifterna behandlas. Behandling av personuppgifter: Med behandling av uppgifter avses insamling, registrering, organisering, användning, översändande, utlämnande. lagring, ändring, samkörning, blockering, utplåning och förstöring samt andra åtgärder som vidtas i fråga om personuppgifterna (personuppgiftslagen 3 2 punkten). Klassificerad handling: Med en klassificerad handling aves i denna anvisning en handling som enligt informationssäkerhetsförordningen klassificerats som hörande till någon av skyddsnivåerna i 9 i förordningen och enligt de förutsättningar som föreskrivs i den. I lagen om internationella förpliktelser som gäller informationssäkerhet föreskrivs om klassificeringen av handlingar som faller inom ramen för internationella förpliktelser. Registeransvarig: Med registeransvarig avses en eller flera personer, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register (3 4 punkten i personuppgiftslagen). Registerbeskrivning: En registerbeskrivning är en formbunden beskrivning av personregistrets innehåll användning och skydd som upprättats på det sätt som förutsätts i personuppgiftslagen (10 ) och som hålls allmänt tillgänglig.

20 20 Sekretessbelagd handling: Med en sekretessbelagd handling avses sådana handlingar och uppgifter som är sekretessbelagda enligt 24 1 mom. i offentlighetslagen. Skyddsnivåer: Med hjälp av skyddsnivån definieras de krav som databehandlingsmiljön och informationshanteringen bör uppfylla då en klassificerad handling hanteras. Klassificeringssystemet har fyra skyddsnivåer. Varje skyddsnivå har specifika tekniska och funktionella krav. På detta sätt tryggas en ändamålsenlig hantering av sekretessbelagd information och annan information som förutsätter klassificering (kapitel 3, 9 i informationssäkerhetsförordningen). Dataskyddsbeskrivning: En utredning av den som hanterar personuppgifterna om hur dessa hanteras och hur de registrerades rättigheter enligt personuppgiftslagen tillgodoses. Informationssäkerhetsnivåer: Med informationssäkerhetsnivåer avses de tekniska och administrativa arrangemang, med vilkas hjälp informationssäkerheten på olika nivåer uppfylls. I en omgivning som uppfyller kraven på basnivå kan största delen av myndighetens informationsbehandlingsbehov tillgodoses. Vid hanteringen av handlingar där konfidentialitet förutsätts under alla omständigheter och där klassificerad information som förutsätter skyddsnivå III hanteras i stor utsträckning ska myndigheten upprätthålla strukturer som håller en förhöjd informationssäkerhetsnivå. Informationssystem som är kritiska och innehåller omfattande mängder uppgifter som klassificerats enligt skyddsnivå II bör hanteras i omgivningar med hög informationssäkerhetsnivå. Handlingar som förutsätter skyddsnivå I ska hanteras i separata nätverk som fyller kraven för hög informationssäkerhetsnivå och som inte står i förbindelse med andra nätverk. Behörig myndighet: Med behörig myndighet avses den myndighet för vars bruk handlingen upprättas eller inkommit och som har rätt att besluta om överlåtelse av handlingen och bestämma om övrig hantering av den. En behörig myndighet har ansvar för de informationssystem och handlingar som hänför sig till myndighetens verksamhet. Inom informationshanterings- och informationssäkerhetsarbetet används ofta begreppet informationssystemets ägare om behörig myndighet eller annan organisation. Behörig tjänsteman: Den tjänsteman vid ifrågavarande myndighet som enligt arbetsordningen eller motsvarande förordnande ansvarar för behandling och klassificering av handlingen och därför har rätt och skyldighet att fatta beslut i ärendet. Handling som bör säkerhetsklassificeras: En handling som innehåller sekretessbelagd information och på vilken, enligt informationssäkerhetsförordningen eller lagen om internationella förpliktelser för informationssäkerhet, kan göras anteckning som anger säkerhetsklassen. Vid hanteringen av handlingen ska de krav på informationssäkerhet som gäller säkerhetsklassen iakttas. De anteckningar som görs på handlingar som säkerhetsklassificeras är enligt skyddsnivå: YTTERST HEMLIG (skyddsnivå I), HEMLIG (skyddsnivå II), KONFIDENTIELL (skyddsnivå III) och BEGRÄNSAD TILLGÅNG (skyddsnivå IV).

21 21 Anteckning om säkerhetsklassificering: En anteckning om säkerhetsklassificeringen kan göras på ett dokument om ett obehörigt avslöjande kan orsaka skada för internationella relationer, statens säkerhet, försvaret eller andra allmänna intressen på det sätt som avses i 24 1 mom. 2 och 7-10 punkten i lagen om offentlighet i myndigheternas verksamhet. En säkerhetsklassificerad handling hanteras alltid enligt sin skyddsnivå. En säkerhetsklassificering kan även bygga på ett internationellt avtal eller en internationell författning. Myndighetshandling: Med en myndighetshandling avses en handling som innehas av en myndighet och som har upprättats av myndigheten eller av någon som är anställd hos en myndighet eller som har inkommit till en myndighet för behandling av ett visst ärende eller i övrigt inkommit i samband med ett ärende som hör till myndighetens verksamhetsområde eller uppgifter. En handling anses ha blivit upprättad av en myndighet även när den upprättats på uppdrag av myndigheten. En handling anses ha inkommit till en myndighet även när den har inkommit till den som verkar på uppdrag av myndigheten eller i övrigt för myndighetens räkning för att denne skall kunna utföra sitt uppdrag (Offentlighetslagen 5 2 momentet; för handlingar som hamnar utanför definitionen se 5 3 och 4 momentet i lagen). 1.7 Säker hantering av information: former och utmaningar, möjligheter och hot Hanteringen av information är förknippad med många olika situationer. Då information hanteras kan man tala om informationsarbete. Då informationen lagras i en form som kan behandlas senare uppstår en upptagning. Dessa upptagningar kan uppstå till följd av direkt arbete eller kan produceras med hjälp av ett automatiskt system. Upptagningar omfattas av begreppet handling i offentlighetslagen; en upptagning kan avse flera handlingar på det sätt de avses i lagen eller endast en del av en handling. Exempel på upptagningar är bland andra resultat av databehandling, e-postmeddelanden, textmeddelanden, ljudupptagningar, fotografier och videor, databaser, övervakningsinformation som producerats av övervakningssystem i realtid samt logginformation i informationssystem. Informationen har en livscykel, vars längd är beroende på informationens egenskaper och varierar från mikrosekunder till information som lagras varaktigt. Livscykelns längd har en direkt inverkan på hanteringen av informationen. Information produceras och överförs i allt större utsträckning i datanät. I öppna datanät kan alla de som verkar i nätet vara kunder och handläggare. I en myndighets datanät har myndigheten rätt att besluta om vem som har rätten att använda nätet och hantera informationen. Datanät möjliggör en omfattande och snabb tillgång till information. Datanät är även förknippade med stora hot. Sådana är exempelvis blockering av nättrafik, produktion av felaktig information genom kombination av olika uppgifter och olovligt tagande i besittning av information på ett sätt som kränker integritetsskyddet.

22 22 En myndighet förutsätts hantera information. Hantering av information behövs både för att nå resultatmålen för den egna verksamheten och för att tillgodose kundbetjäningens behov.

23 23 2 Verkställande av förordningen 2.1 Styrning Myndigheten ska se till att god informationshantering och databehandling (se informationssäkerhetsförordningen) förverkligas vid utvecklandet och upprätthållandet av de system och tjänster som informationsarbetet förutsätter. Myndigheten ska ge anvisningar till personal som är i myndighetens tjänst och till dem som verkar på uppdrag av myndigheten om handlingarnas offentlighet, om förfarandet vid samband utlämnande av uppgifter och vid hanteringen av information samt om de förfaranden, säkerhetsarrangemang och uppgiftsfördelning som bör följas vid skyddandet av handlingar och informationssystem. Myndigheten ska se till att processerna vid hantering av information och riskerna i samband med dem har bedömts som en del av riskhanteringen. Myndigheten ska ha beskrivit processen för informationens hela livscykel jämte underprocesser och planerna i anslutning till dessa med tanke på olika störningar. Myndigheten ska se till att utrymmena med hjälp av tekniska lösningar skyddas så att utomstående inte får tillgång till klassificerat informationsmaterial. Ärendehanteringsystemen ska stödja uppföljning och registrering av hur materialet använts. 2.2 Utbildning Myndigheten ska ge dem som deltar i hanteringen av handlingar de tilläggsanvisningar och den utbildning som behövs inom den enskilda myndigheten. Utbildning för hanteringen av alla skyddsnivåer ska ordnas regelbundet och som en del av inskolning av ny personal. Myndigheten ska utbilda den personal som deltar i planeringen och implementeringen av informationssystem så att personalen beaktar kraven på god informationshantering enligt denna anvisning när det gäller de informationstjänster som myndigheten erbjuder.

24 Övervakning Myndigheten ska regelbundet övervaka att åtgärderna för informationssäkerheten vidtas i fråga om informationsmaterial som klassificerats samt följa upp att givna anvisningar och informationssäkerhetsåtgärder fungerar. Myndigheten ska övervaka att rätta arbetsmetoder används och att personalen handlar i överensstämmelse med den beskrivna processen i olika situationer. Hanteringen av personuppgifter ska övervakas med hjälp av t.ex. loggar. Arbetsgivaren bör se till att lagen om integritetsskydd i arbetslivet följs vid ordnandet av övervakningen (759/2004). Anvisningar om övervakningen av hur informationen används finns i anvisningen Yleisohje tietoturvallisuuden johtamiseen ja hallintaan (VAHTI 3/2007) och i anvisningen om hantering av loggar (Lokiohje, VAHTI 3/2009). Då datateknisk utrustning tas ur bruk eller då användningen ändras ska all information avlägsnas med program avsedda för ändamålet och de vidtagna åtgärderna registreras. Övervakningssystemet för myndighetens tekniska utrymmen bör stödja skyddandet av informationsmaterialet. Övervakningssystemens säkerhet bör ombesörjas på samma sätt som för andra informationssystem. 2.4 Uppföljning Myndigheten ska se till att en uppföljning av riskerna i samband med hanteringen av informationsmaterial sker och även presentera informationssäkerhetsläget för ledningen enligt en överenskommen tidtabell. Säkerhetsöversikten ska innehålla en utvärdering av huruvida god informationshantering uppnåtts, ett sammandrag av incidenter, utbildning i och anvisningar om informationssäkerhet som erbjudits personalen samt det aktuella läget inom myndighetens informationssäkerhetskultur och eventuella avvikelser. Presentationen ska inkludera förslag på åtgärder för att avhjälpa noterade problem. Förvaringsutrymmena för elektroniskt och annat lagrat informationsmaterial ska auditeras eller kontrolleras regelbundet och befintliga brister korrigeras. Utlokaliserade system bör godkännas av behörig myndighet innan information som omfattas av skyddskrav kan överlåtas. 2.5 Förordningens verkställighet Varje myndighet ansvarar för att informationssäkerhetsnivåerna tillämpas i verksamheten och i samarbete. I informationssäkerhetsförordningen fastställs de obligatoriska kraven som gäller för informationssäkerhetsnivåerna. Varje myndighet inom statsförvaltningen ska uppnå åtminstone informationssäkerhetens basnivå, som omfattar hanteringen av myndighetens sekretessbelagda handlingar i sin helhet. Hela statsförvaltningen ska ha uppnått basnivån för informationssäkerheten senast (23 3 mom. i informationssäkerhetsförordningen).

25 I funktioner där man förutsätter en verksamhetsmiljö (verksamhet, informationssystem och datanät) med förhöjd eller hög informationssäkerhet och där de handlingar som hanteras har klassificerats av myndigheten bör kraven uppfyllas inom fem år räknat från det att myndigheten har beslutat klassificera sina handlingar. 25

26 26

27 27 3 God informationshantering och informationsbehandling 3.1 Planering av informationshanteringen Genomförande av god informationshantering förutsätter att myndigheten planerar informationshanteringen (18 i offentlighetslagen). Planeringen börjar med att myndighetens verksamhetsprocesser utreds. Då ska arbetsflödet, processerna för hantering av ärenden jämte handlingar samt användningsrättigheterna till handlingarna och till de uppgifter de innehåller planeras. Processbeskrivningen ska innehålla uppgifter om hur ärenden anhängiggörs vilka åtgärder som ingår i hanteringsskedena hur beslutsfattandet sker vem som deltar i olika skeden av processen vilka handlingar och uppgifter som skapas, samlas eller anskaffas i varje skede, hur dessa lagras, registreras och förvaras samt hur handlingar och uppgifter hanteras. Vid elektronisk hantering av klassificerat informationsmaterial på skyddsnivåerna I och II samt känsliga personuppgifter understryks kravet på en obruten hanteringskedja, varvid alla hanteringsskeden ska registreras i systemet. Hanteringen av en myndighets handlingar förutsätter att en arkivbildningsplan uppgjorts. Noggrannare anvisningar om arkivbildningsplanens struktur och upprätthållande finns i den handledning som Arkivverket publicerat ( Arkivbildningsplanen är en anvisning för hantering, registrering och förvaring av myndighetens information av handlingskaraktär. Arkivbildningsplanen producerar metadata i informationssystemen i samband med hanteringen av information av handlingskaraktär. Förfaringssätten och ansvaret för ärendehanteringen ska skrivas in i arkivstadgan eller annan motsvarande anvisning.

28 28 Hanteringen av personuppgifter ska planeras på det sätt som förutsätts i 6 i personuppgiftslagen. Personregister ska identifieras och kartläggas, deras användningsändamål ska definieras och behövliga registerbeskrivningar ska upprättas. Myndigheten ska utreda och bedöma handlingarnas tillgänglighet, användbarhet och skyddet av dem. Myndigheten ska också bedöma hot och risker som äventyrar integriteten och kvaliteten på handlingarnas uppgifter och likaså utreda metoderna, kostnaderna och verkningarna av de åtgärder med vilka riskerna kan minskas (18 1 mom. 4 punkten i offentlighetslagen, 4, 5 1 mom. 1 punkten i informationssäkerhetsförordningen). Målsättningarna för tillgängligheten och användbarheten av uppgifterna ska definieras på det sätt som funktionerna förutsätter. Hur användbar och tillgänglig informationen är påverkas bland annat av datanätets och informationssystemets egenskaper. Särskild uppmärksamhet ska fästas vid applikationernas användargränssnitt så att de arbetsuppgifter som funktionen förutsätter kan utföras smidigt. En förutsättning för detta är snabb informationssökning och en implementering som stöder verksamhetsprocessen. För tryggande av informationens tillgänglighet bör behövliga kataloger (index) planeras och upprätthållas så att direkt informationssökning möjliggörs. Å andra sidan kan de användas som stöd för att sprida offentlig information till dem som begär sådan. Myndigheten ska definiera och utfärda anvisningar om rutiner och regler för hur information om verksamheten produceras för offentligheten. Då man informerar över internet ska man säkerställa att informationen upprätthålls och är uppdaterad. Särskild uppmärksamhet ska även fästas vid att trygga informationens integritet. Man ska också komma ihåg, att sekretessbelagd information inte får spridas vid offentlig informationsförmedling. Hanteringen av sekretessbelagd information ska planeras och verkställas så att informationen kan hanteras endast av behöriga. Vid planeringen av informationssystem ska man se till att det under alla omständigheter finns förutsättningar för god informationshantering utan störningar. Vid planeringen och implementeringen av informationssystem bör man eftersträva att den gemensamma information som behövs i olika processer lagras på ett enda ställe som de olika processerna utnyttjar. De parallella system som behövs för säkerställandet av verksamheten ska planeras och genomföras så att dataarkivens integritet består. Myndigheten ska fästa särskild uppmärksamhet vid kvaliteten på informationen den producerar. Detta betonas särskilt i fråga om handlingar och personregister som används vid beslutsfattandet som gäller enskilda personer och sammanslutningar. I kvalitetskraven framhävs handlingarnas innehåll, struktur, underskrifter, distribution och tidtabeller samt tryggandet av handlingarnas integritet och obestridlighet. Enligt 9 i personuppgiftslagen ska den registeransvarige se till att inga felaktiga, ofullständiga eller föråldrade personuppgifter hanteras. 3.2 Kartläggning och hantering av datamaterialet Myndigheten ska identifiera de handlingar den har i sin besittning (dataarkiven). Handlingarna ska överensstämma med den arkivbildningsplan myndigheten upprätthåller