Lähes kaksi vuotta sitten syntyi päätös Katakri -hyväksyntään tähtäävän prosessin aloittamisesta. Työhön ryhdyttiin työstämällä jo olemassa olevia turvallisuusohjeistuksia vaadittuun muotoon. Katakrin lähempi tarkastelu osoitti, että yrityksen toimintatavat ja ohjeistukset oli toteutettu vaatimusten tasolla jo vuosia. Prosessi saatiin päätökseen lokakuussa, kun toimivaltainen viranomainen auditoi Ontec Oy:n tilat, toimintatavat ja sähköisen tiedonkäsittelyn laitteet. Läpäisimme auditoinnin hyväksytysti.
Katakri 2020 – auditointi on vahvistanut ajatustamme siitä, mihin olemme matkalla ja mitä vaadimme oman toimintamme kehitykseltä myös jatkossa. Tästä on hyvä jatkaa eteenpäin uusiin haasteisiin.
Mitä Katakri tarkoittaa ?
Katakri on tietoon liittyvän turvallisuuden auditointityökalu viranomaisille. Sitä voidaan käyttää auditointityökaluna arvioitaessa yrityksen turvallisuusjärjestelyjen toteutumista viranomaisen tekemässä turvallisuusselvityksessä ja tietojärjestelmien turvallisuuden arvioinneissa, eli yritysturvallisuusselvityksessä.
Yritysturvallisuusselvitys
Yritysturvallisuusselvityksessä toimivaltainen viranomainen selvittää laissa mainittujen tietolähteiden, yrityksen vastuuhenkilöturvallisuusselvitysten sekä yritykseen ja sen toimitiloihin kohdistuvan tarkastusten avulla, miten yritys pystyy huolehtimaan tietoturvallisuutta koskevissa turvallisuusvelvoitteissaan. Tarkastelussa on mm. turvallisuusluokiteltujen tietojen suojaaminen oikeudettomalta paljastumiselta, asiattoman pääsyn estäminen toimitiloihin, joissa turvallisuusluokiteltuja tietoja käsitellään ja säilytetään, sekä yrityksen henkilöstön ohjeistaminen ja kouluttaminen (kuva 2).
Yrityksessä tehdyt turvallisuusjärjestelyt tulee perustua järjestelmälliseen riskienarviointiin. Näiden riskien hallinnalla on pyrittävä toteuttamaan yhdistelmä turvatoimia, joilla saadaan aikaan tasapaino käyttäjien vaatimusten, kustannusten ja turvallisuuteen kohdistuvan jäännösriskin välillä.
Katakrin historiaa
Katakrin ensimmäinen versio ilmestyi vuonna 2009 osana hallituksen sisäistä turvallisuuden ohjelmaa. Sen jälkeen Katakrin hallinnointi ja kehittäminen on matkannut muutaman mutkan kautta NSA:n alla toimivan ohjausryhmän vastuulle. Tässä ohjausryhmässä ovat edustettuina toimivaltaisten viranomaistahojen lisäksi elinkeinoelämän edustajia. Käytössä tällä hetkellä on neljäs versio Katakrista, johon viimeisimpänä on lisätty digitaalisen tietojenkäsittelyn näkökulmia sekä ohjeistuksia Katakrin käyttöön työkaluna.
Katakriin on sisällytetty kansallisiin säädöksiin ja kansainvälisiin velvoitteisiin perustuvat vähimmäisvaatimukset. Kansallisella tasolla näistä tärkeimmät ovat tiedonhallintalaki (906/2019) sekä valtioneuvoksen asetus asiakirjojen turvallisuusluokittelusta valtionhallinnossa (1101/2019). Katakrin pääsisältö koostuu kolmesta osa-alueesta: Turvallisuusjohtaminen, Fyysinen turvallisuus ja Tekninen tietoturvallisuus.