Katakri 2015 - Tietoturvallisuuden auditointityökalu viranomaisille

katakri kansiKatakri on viranomaisten auditointityökalu, jota voidaan käyttää arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa pidettävää tietoa. Katakriin on koottu kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset.

Katakri itsessään ei aseta tietoturvallisuudelle ehdottomia vaatimuksia, vaan siihen kootut vaatimukset perustuvat voimassa olevaan lainsäädäntöön ja Suomea sitoviin kansainvälisiin tietoturvallisuusvelvoitteisiin. Katakrissa esitettyjen vaatimusten yhteyteen on merkitty lähdeviittaus läpinäkyvyyden varmistamiseksi.

Katakriin kirjatut vaatimukset on jaettu kolmeen osa-alueeseen:

Turvallisuusjohtamista koskevassa (T) osa-alueessa pyritään varmistumaan siitä, että organisaatiolla on riittävät turvallisuusjohtamisen valmiudet sekä kyvykkyys.

Fyysistä turvallisuutta koskevassa (F) osa-alueessa kuvataan salassa pidettävien tietojen fyysistä käyttöympäristöä koskevat turvallisuusvaatimukset.

Teknistä tietoturvallisuutta koskevassa (I) osa-alueessa kuvataan puolestaan tekniselle tietojenkäsittely-ympäristölle asetetut turvallisuusvaatimukset.  Tämä osa-alue jakautuu kolmeen käsiteltävän tiedon mukaiseen suojaustasoon (ST IV, ST III, ST II).

Katakria voidaan käyttää auditointityökaluna arvioitaessa yrityksen turvallisuusjärjestelyjen toteutumista yritysturvallisuusselvityksessä ja viranomaisten tietojärjestelmien turvallisuuden arvioinneissa. Sitä voidaan käyttää myös apuna yrityksien, yhteisöjen sekä viranomaisten muussa turvallisuustyössä ja sen kehittämisessä.

Katakri auditointityökalu on hyväksytty käyttöön NSA:n yhteistyöryhmässä 26.03.2015. Katakrista on pyritty tekemään paremmin aikaa kestävä, jotta vältetään usein toistuvat kokonaisuudistukset.

Palautetta Katakrista voi lähettää osoitteeseen nsa(at)formin.fi.

Katakri_2015_Tietoturvallisuuden_auditointityökalu_viranomaisille (pdf) (692.1 KB)
Poutapilvi web design - P4 - julkaisujärjestelmä