Tietoturvallisuuden auditointityökalu sai päivityksen – Katakri 2020

Buildercomin BEM-palvelu täyttää Katakri 2015 ST IV -suojaustason vaatimukset, mutta tuoreeltaan julkaistu Katakri-viitekehyksen päivitys asettaa uusia vaatimuksia palvelulle. Alle on koottu yhteenvetoa Katakri-viitekehyksen, Katakri 2020 -päivityksen sisällöstä.

 

Katakri 2020

Katakrin eli kansallisen turvallisuusauditointikriteeristön ensimmäinen versio julkaistiin vuonna 2009, ja se oli tuolloin osana hallituksen sisäistä turvallisuuden kehitysohjelmaa. Katakrin jatkohallinnointi siirrettiin sisäministeriölle ja päivitetty versio, Katakri II, valmistui vuonna 2011. Päävastuu Katakrin ylläpidosta siirrettiin ulkoministeriön alaisuudessa toimivalle Kansalliselle turvallisuusviranomaiselle (NSA) ja kolmas versio julkaistiin vuonna 2015, jolloin kehitys keskittyi turvallisuusluokitellun tiedon tietoturvallisuuteen. Katakrin päivitystyö ja hallinnointi on nykyäänkin NSA:n vastuulla ja Katakrin neljäs (ja viimeisin) versio, Katakri 2020, näki päivänvalon vuoden 2020 lopussa. Päivitystyössä keskeisenä tekijänä on ollut uudistunut lainsäädäntö, ja siinä on huomioitu paremmin digitalisaation kehitystä.

 

Pilvipalveluympäristöjen tuomat vaatimukset huomattavana uudistuksena

Uuden Katakri-viitekehyksen pohjana ovat ISO/IEC 27000 -sarjan standardit, VAHTI-ohjeet, Tiedonhallintalautakunnan suositukset sekä muut tunnetut kansainvälisetkin turvallisuusohjeistukset. Huomattavana uudistuksena ovat pilvipalveluympäristöjen tuomat vaatimukset. Useassa vaatimuksen kohdassa viitataan Kyberturvallisuuskeskuksen vuonna 2020 julkaisemaan Pilvipalveluiden turvallisuuden auditointikriteeristöön (PiTuKri). Lyhenne voi kuulostaa hauskalta, mutta se sisältää tärkeitä ohjeita pilvipalvelu- sekä hybridiympäristöjen turvallisuuden takaamiseksi.

Pilviympäristöissä asiakkaan suorat vaikutusmahdollisuudet voivat olla vähäisempiä ja palveluympäristö laitteistoon asti voi muodostaa pitkiä alihankintaketjuja. Palveluympäristöissä tyypillisesti resursseja jaetaan useiden asiakkaiden kesken, ainakin osittain. Julkisten pilviympäristöjen (Azure, AWS, jne.) fyysinen auditointi voi olla haastavaa, koska laitteistoympäristö voi sijaita vaikkapa ulkomailla. Julkiset pilvet voivat tarjota helpon tavan vaihtaa palveluympäristön ja datan fyysistä sijaintia ja jopa sijaintimaata yhdellä napin painalluksella.

 

PiTuKrin tavoitteena parantaa pilvipalveluissa käsiteltävän tiedon turvallisuutta

PiTuKri-viitekehys on jaettu yhteentoista osa-alueeseen. Osa-alueet koostuvat vaatimuskorteista, joita on 41 kappaletta. Vaatimuskortteihin on kuvattu vaatimuksen teema, konkreettinen vaatimus, vaatimuksen soveltamiskohteet, suojaustavoite, sekä vaatimuksen toteuttamisen ja tulkinnan tueksi tarkoitettuja lisätietoja. Ensimmäinen osa-alue, esiehdot, on erityinen ja määrittää jatkoarviointien mahdollisuuksia. Esiehtojen täyttyminen ei kuitenkaan vielä takaa riittävää tiedon suojaamista, ja muutkin osa-alueet tulee huomioida.

Traficom on määritellyt hyväksyntäprosessin, ja pilvipalvelujen turvallisuuden arvioinnissa voidaan käyttää erilaisia menetelmiä. Traficom voi myöntää järjestelmälle PiTuKri-hyväksynnän, jolloin yrityksen on myös sitouduttava turvallisuuden tason säilyttämiseen. Kaikki merkittävät muutokset tulee lisäksi hyväksyttää etukäteen Traficomilla.

 

Buildercom seuraa tarkasti auditointiviitekehyksen kehittymistä, ja BEM-palvelu pidetään jatkossakin turvallisena palveluna viranomaishyväksynnät huomioiden.

 

Katakri 2020
Tietoturvatyö ja auditoinnit ovat Buildercomilla jatkuvaa arkea.

Lisätietoja

Katakri – tietoturvallisuuden auditointityökalu viranomaisille.
Kuberturvallisuuskeskus – Pilvipalveluiden turvallisuuden auditointikriteeristö PiTuKri.
Katakri-auditointi BEM-palvelu täyttää tiukat tietoturvakriteerit.
Blogi: Buildercom panostaa tietoturvaan.

Ota yhteyttä, niin palaamme pikaisesti asiaan!