saitti/docs/domain-fi/tekniset-rajapinnat/katakri-vaatimukset.md

# Katakri-vaatimukset EPP-rajapinnalle

!!! INFO
	Katakri on viranomaisten auditointityökalu, jota voidaan käyttää
	arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa
	pidettävää tietoa.

Jos verkkotunnusvälittäjä käyttää teknisenä rajapintana Liikenne- ja
viestintäviraston EPP-rajapintaa, verkkotunnusvälittäjän on täytettävä
[Katakri]n kulloinkin voimassa olevan version teknisen tietoturvallisuuden
osa-alueen I-osa-alueen mukaiset suojaustason (IV) vaatimuksista johdetut
arvioitavat kohdat seuraavilta osin:

1. tietoliikenneturvallisuus
2. tietojärjestelmäturvallisuus.

Katakri-auditointityökaluun on koottu kansallisiin säädöksiin ja kansainvälisiin
velvoitteisiin perustuvat vähimmäisvaatimukset. Katakri itsessään ei aseta
tietoturvallisuudelle ehdottomia vaatimuksia, vaan siihen kootut vaatimukset
perustuvat voimassa olevaan lainsäädäntöön ja Suomea sitoviin kansainvälisiin
tietoturvallisuusvelvoitteisiin. Katakrissa esitettyjen vaatimusten yhteyteen on
merkitty lähdeviittaus läpinäkyvyyden varmistamiseksi.

## Vaatimusten osa-alueet

Katakriin kirjatut vaatimukset on jaettu kolmeen
osa-alueeseen:

1. Turvallisuusjohtamista koskevassa (T) osa-alueessa pyritään varmistumaan
   siitä, että organisaatiolla on riittävät turvallisuusjohtamisen valmiudet
   sekä kyvykkyys.

2. Fyysistä turvallisuutta koskevassa (F) osa-alueessa kuvataan salassa
   pidettävien tietojen fyysistä käyttöympäristöä koskevat
   turvallisuusvaatimukset.

3. Teknistä tietoturvallisuutta koskevassa (I) osa-alueessa kuvataan puolestaan
   tekniselle tietojenkäsittely-ympäristölle asetetut turvallisuusvaatimukset.
   Tämä osa-alue jakautuu kolmeen käsiteltävän tiedon mukaiseen suojaustasoon
   (ST IV, ST III, ST II). Liikenne- ja viestintäviraston EPP-rajapintaa
   käyttävien verkkotunnusvälittäjien edellytetään täyttävän vaatimukset
   teknisen tietoturvallisuuden osa-alueen tietoliikenneturvallisuutta ja
   tietojärjestelmäturvallisuutta koskien. Vaatimuksella pyritään turvaamaan
   verkkotunnusvälittäjien asiakkaiden tietoturvan taso.

Vaatimukset koskevat nimenomaan verkkotunnusten välitystoimintaa. Mikäli
verkkotunnusten välitystoimintaa harjoittava taho harjoittaa myös muuta
toimintaa, vaatimukset eivät koske muita toimintoja.

Liikenne- ja viestintäviraston määräyksessä viitataan kulloinkin voimassa
olevaan kriteeristöön. Katakrin voimassaoleva versio on löydettävissä
puolustusministeriön verkkosivuilta.

Tuki:
Yhteydenotot ensisijaisesti sähköpostitse osoitteeseen
fi-domain-tech@traficom.fi.

---
Päivitetty 30.01.2019, Haettu 31.1.2025
<br>Lähde: [https://registry.domain.fi/s/fi/Pages/Info/ti_katakriepp](https://registry.domain.fi/s/fi/Pages/Info/ti_katakriepp)

[Katakri]: ../Katakri_2015_Tietoturvallisuuden_auditointityokalu_viranomaisille.pdf
Info about domain-fi EPP/API access 2025-01-31 03:20:27 +02:00			`# Katakri-vaatimukset EPP-rajapinnalle`

			`!!! INFO`
			`Katakri on viranomaisten auditointityökalu, jota voidaan käyttää`
			`arvioitaessa kohdeorganisaation kykyä suojata viranomaisen salassa`
			`pidettävää tietoa.`

			`Jos verkkotunnusvälittäjä käyttää teknisenä rajapintana Liikenne- ja`
			`viestintäviraston EPP-rajapintaa, verkkotunnusvälittäjän on täytettävä`
			`[Katakri]n kulloinkin voimassa olevan version teknisen tietoturvallisuuden`
			`osa-alueen I-osa-alueen mukaiset suojaustason (IV) vaatimuksista johdetut`
			`arvioitavat kohdat seuraavilta osin:`

			`1. tietoliikenneturvallisuus`
			`2. tietojärjestelmäturvallisuus.`

			`Katakri-auditointityökaluun on koottu kansallisiin säädöksiin ja kansainvälisiin`
			`velvoitteisiin perustuvat vähimmäisvaatimukset. Katakri itsessään ei aseta`
			`tietoturvallisuudelle ehdottomia vaatimuksia, vaan siihen kootut vaatimukset`
			`perustuvat voimassa olevaan lainsäädäntöön ja Suomea sitoviin kansainvälisiin`
			`tietoturvallisuusvelvoitteisiin. Katakrissa esitettyjen vaatimusten yhteyteen on`
			`merkitty lähdeviittaus läpinäkyvyyden varmistamiseksi.`

			`## Vaatimusten osa-alueet`

			`Katakriin kirjatut vaatimukset on jaettu kolmeen`
			`osa-alueeseen:`

			`1. Turvallisuusjohtamista koskevassa (T) osa-alueessa pyritään varmistumaan`
			`siitä, että organisaatiolla on riittävät turvallisuusjohtamisen valmiudet`
			`sekä kyvykkyys.`

			`2. Fyysistä turvallisuutta koskevassa (F) osa-alueessa kuvataan salassa`
			`pidettävien tietojen fyysistä käyttöympäristöä koskevat`
			`turvallisuusvaatimukset.`

			`3. Teknistä tietoturvallisuutta koskevassa (I) osa-alueessa kuvataan puolestaan`
			`tekniselle tietojenkäsittely-ympäristölle asetetut turvallisuusvaatimukset.`
			`Tämä osa-alue jakautuu kolmeen käsiteltävän tiedon mukaiseen suojaustasoon`
			`(ST IV, ST III, ST II). Liikenne- ja viestintäviraston EPP-rajapintaa`
			`käyttävien verkkotunnusvälittäjien edellytetään täyttävän vaatimukset`
			`teknisen tietoturvallisuuden osa-alueen tietoliikenneturvallisuutta ja`
			`tietojärjestelmäturvallisuutta koskien. Vaatimuksella pyritään turvaamaan`
			`verkkotunnusvälittäjien asiakkaiden tietoturvan taso.`

			`Vaatimukset koskevat nimenomaan verkkotunnusten välitystoimintaa. Mikäli`
			`verkkotunnusten välitystoimintaa harjoittava taho harjoittaa myös muuta`
			`toimintaa, vaatimukset eivät koske muita toimintoja.`

			`Liikenne- ja viestintäviraston määräyksessä viitataan kulloinkin voimassa`
			`olevaan kriteeristöön. Katakrin voimassaoleva versio on löydettävissä`
			`puolustusministeriön verkkosivuilta.`

			`Tuki:`
			`Yhteydenotot ensisijaisesti sähköpostitse osoitteeseen`
			`fi-domain-tech@traficom.fi.`

			`---`
			`Päivitetty 30.01.2019, Haettu 31.1.2025`
			`<br>Lähde: [https://registry.domain.fi/s/fi/Pages/Info/ti_katakriepp](https://registry.domain.fi/s/fi/Pages/Info/ti_katakriepp)`

			`[Katakri]: ../Katakri_2015_Tietoturvallisuuden_auditointityokalu_viranomaisille.pdf`