Mikä ihmeen Katakri?

Ilkka Korhonen
Kirjoittaja: Ilkka Korhonen 25.3.2016 9:09

Aihe: Katakri

Tieto on valtaa, julisti Sir Francis Bacon 1500-luvun Englannissa, eikä tilanne ole siltä osin muuttunut miksikään. Tieto on edelleenkin valtaa ja tiedonhallinnasta on tullut merkittävä turvallisuustekijä. Kenellä on oikeus päästä kiinni salassa pidettävään tietoon, jolla on arvoa ja tärkeyttä niin kansallisella kuin kansainvälisellä tasolla?

Tätä varten luotu Katakri on viranomaisten auditointityökalu, jota viranomaisen on mahdollista käyttää arvioidessaan esimerkiksi yrityskumppaninsa kykyä suojata salassa pidettävää tietoa. Salainen tieto voi kattaa niin henkilötietoja ja erilaisia rekisterejä kuin turvallisuussuunnitelmia. Katakri on myös selkeä työväline yritysturvallisuusselvityksiin sekä viranomaisten tietojärjestelmien arviointeihin. Sitä voidaan käyttää myös yritysten, yhteisöjen ja viranomaisten turvallisuusyhteistyön kehityksessä.

Ensimmäinen versio kriteeristöstä valmistui vuonna 2009 ja sen jälkeen sitä on uudistettu ja kehitetty yhteistyössä eri ministeriöiden kanssa – päävastuu on nykyisin ulkoministeriössä toimivalla Kansallisella turvallisuusviranomaisella (NSA). Katakrin vaatimusten pohjana on aina voimassa oleva lainsäädäntö ja Suomea sitovat kansainväliset tietoturvavelvoitteet.

Katakrin vaatimukset on jaettu kolmeen erilliseen osa-alueeseen ja niitä voidaan käyttää myös omina kokonaisuuksinaan:

  • Turvallisuusjohtaminen on yksi, jolla varmistetaan, että toimijalla on turvallisuusjohtamiseen vaadittavat valmiudet ja kyvyt hallinnollisen ja henkilöstöturvallisuuden osalta.

  • Fyysistä turvallisuutta koskeva osa-alue kattaa tietojen fyysistä käyttöympäristöä koskevat turvallisuusvaatimukset käsittely- ja säilytysympäristön perusteella.

  • Teknisen tietoturvallisuuden osa-alue kattaa nimensä mukaisesti tekniselle tietojenkäsittely-ympäristölle vahvistetut vaatimukset.

Mitä hyötyä Katakrista on?

Yhdenmukaisen, laajan ja läpinäkyvän kriteeristön pohjalta voidaan arvioida helpommin sitä, mikä on organisaation kyky toimia salassa pidettävien viranomaistietojen suojaajana niin kriisitilanteessa kuin normaalissa olosuhteissa. Katakria voidaan käyttää yritysturvallisuusselvityksiin liittyvissä auditoinneissa ja se on myös työkalu tietoturvallisuuteen liittyvässä kehitystyössä.

Rajapinnat muihin standardeihin laajentavat Katakrin merkitystä osana kokonaisvaltaista prosessipohjaista tietojohtamista, koska Katakrin vaatimukset soveltuvat myös ISO-standardeihin ja Valtionhallinnon tieto- ja kyberturvallisuuden johtoryhmän VAHTI-ohjeistuksiin.

Ilkka Korhonen

Asiantuntija
MPY Palvelut

Ps. Lue myös Ilkan jatkoblogi aiheesta: Katakrista pilvipalveluihin - kaikella on paikkansa

MPY Palvelut Oyj:n tietoturvallisuuden hallintajärjestelmälle on myönnetty ISO/IEC 27001:2013 -sertifikaatti, joka kattaa koko konesaliliiketoiminnan sekä kaikki siihen liittyvät johtamis- ja tukiprosessit.

MPY:n ISO/IEC 27001:2013 sertifioinnissa on hyödynnetty Katakri V3 4-tason turvaluokitusta fyysisten konesalitilojen turvallisuuteen ja tietojärjestelmien ylläpitoon liittyen. Turvaluokituksen vaatimukset ovat tiukat ja turvatilan on oltava Katakri-kriteeristön pohjalta monitasoisesti suojattu ja tietojen säilytyspaikan on oltava Suomessa. Vaatimukset koskevat myös tietoliikennettä, joka on oltava yrityksen omassa hallussa.