Tietojärjestelmien ulkopuolisen henkilötiedon dokumentointi

Organisaation on ylläpidettävä listaa sen hallinnoimiin tietovarantoihin sisältyvistä tietoaineistoista.

Dokumentaation on sisällettävä vähintään seuraavat tiedot:

• Aineiston käsittelyyn käytetyt tietojärjestelmät ja muut keinot
• Keskeiset tietoryhmät aineistossa (ja sisältääkö henkilötietoja)
• Tietojen säilytysaika (käsitellään tarkemmin erillisessä tehtävässä)
• Tarvittaessa tieto aineistojen arkistoinnista / hävittämisestä (käsitellään tarkemmin erillisessä tehtävässä)

Etenkin kun paikallista tai rakenteetonta tietoa on toiminnan luonteen vuoksi tarpeen käsitellä paljon, voi olla tarpeen kehittää koulutusta, joka kuvaa näihin liittyiviä riskejä henkilöstölle.

Paikallisen ja rakenteettoman tiedon yleisiä ongelmia ovat mm.:

• ei varmuuskopiointia
• ei pääsynhallintaa
• vaikea löydettävyys

Tiedoille, joiden et haluat häviävän, joiden käyttöä haluat valvoa tai jotka on tärkeä löytää jatkossa, henkilöstön pitäisi käyttää niihin suunniteltuja järjestelmiä.

Organisaatio suojaa julkisten tai yksityisten verkkojen kautta siirrettyjä tietoja kolmansien osapuolten lukemiselta tai manipuloinnilta:

• tunnistanut ja dokumentoinut tiedonsiirtoon käytettävät verkkopalvelut.
• Määrittänyt verkkopalvelujen käyttöä koskevat käytännöt ja menettelyt luokitusvaatimusten mukaisesti.
• Toteuttanut toimenpiteitä, joilla suojataan tosiasiallisesti siirrettyjä tietoja luvattomalta käytöltä.

Tietoon ja tietojenkäsittelypalveluihin liittyvä suojattava omaisuus olisi luotteloitava. Tarkoituksena on varmistaa, että suojaus kattaa tarvittavan omaisuuden.

Luettelointia voidaan tehdä suoraan hallintajärjestelmässä, mutta organisaatiolla voi olla käytössä tietylle omaisuudelle (mm. koodivarastoille, tietokannoille, verkkolaitteille, mobiililaitteille, työasemille, palvelimille tai muulle fyysiselle omaisuudelle) muita, hyvin toimivia listauspaikkoja.

Kuvaa tässä tehtävässä, mitkä hallintajärjestelmän ulkopuoliset luettelot liittyvät suojattavan omaisuuden hallintaan.

Organisaatio on määritellyt kokonaisvastuun siitä, että salassapidettäviä tietoja käsitellään ainoastaan niiden käsittelemiseen soveltuvissa tiloissa.

Suojaustason III-II tietojen suhteen menetellään seuraavasti:

• Fyysiset turvatoimet toteutetaan kaikissa tiloissa, joissa tietoja käsitellään tai säilytetään.
• Tietoja käsitellään ainoastaan viranomaisen hyväksymillä turva-alueilla. Tietoja voidaan käsitellä myös hallinnollisilla alueilla, jos pääsy salassa pidettäviin tietoihin on suojattu sivullisilta.
• Tietoja säilytetään ainoastaan viranomaisen hyväksymillä turva-alueilla turvasäilytysyksikössä tai kassaholvissa.

Organisaatio on määritellyt kokonaisvastuun siitä, että salassapidettäviä tietoja käsitellään ainoastaan niiden käsittelemiseen soveltuvissa tiloissa.

Suojaustason IV tietojen suhteen menetellään seuraavasti:

• Fyysiset turvatoimet toteutetaan kaikissa tiloissa, joissa tietoja käsitellään tai säilytetään.
• Tietoja käsitellään ainoastaan turva-alueilla, hallinnollisella alueella tai viranomaisen hyväksymillä menettelyillä hallinnollisen alueen ulkopuolella.
• Tietojen säilytys on mahdollista turva-alueilla ja hallinnollisella alueella soveltuvissa lukittavissa toimistokalusteissa, tai tilapäisesti myös viranomaisen hyväksymillä menettelyillä hallinnollisen alueen ulkopuolella.

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason II tietoja hävitettäessä:

• Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
• Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti
• Sekä kirjaaja että todistaja, jos jälkimmäisen läsnäoloa vaaditaan, allekirjoitettavat hävittämistodistuksen, joka tallennetaan kirjaamoon
• Todistus säilytytään vähintään 5 vuotta
• Aineiston hävittäminen suoritetaan todistajan läsnä ollessa, jolla on vähintään hävitettävän aineiston turvallisuusluokkaa vastaava turvallisuusselvitys

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason III tietoja hävitettäessä:

• Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
• Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti
• Sekä kirjaaja että todistaja, jos jälkimmäisen läsnäoloa vaaditaan, allekirjoitettavat hävittämistodistuksen, joka tallennetaan kirjaamoon
• Todistus säilytytään vähintään 5 vuotta

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason IV tietoja hävitettäessä:

• Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
• Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti

Jokaiselle tietoaineistolle nimetään omistaja. Omistaja on vastuussa tieto-omaisuuden elinkaaresta ja vastaa kyseiseen omaisuuteen liittyvien hallintatehtävien toteuttamisesta.

Omistajan tehtäviin kuuluu mm.:

• varmistaa omaisuuden dokumentointi
• varmistaa omaisuuden asianmukainen suojaus
• pääsyoikeuksien säännöllinen katselmointi
• varmistaa tietojen asianmukainen käsittely, myös tietoja tuhottaessa

Omistaja voi delegoida osan tehtävistä eteenpäin, mutta vastuu säilyy omistajalla.

Organisaation on huolehdittava, että kaikki sen ulkopuolelle tai vaihtoehtoiseen sijaintiin tehtävät tietojensiirrot, olipa kyseessä laitteen, ohjelmiston tai datan siirtäminen, vaativat kirjallisen tai kryptografisesti vahvistetun hyväksynnän.

Organisaation on toteutettava tiedonsiirrot yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä.

Lisäksi tiedonsiirrot on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.

Organisaatiolla tulee olla kuvaus tietoaineiston sisällön säilytysajasta sekä arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta. Tietoaineiston säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.

Kun tuhotaan tietojärjestelmien sisältämiä tietoja, seuraavat seikat olisi huomioitava:

• sopiva tuhoamistapa (esim. ylikirjoitus, kryptografinen pyyhintä) valitaan toiminnalliset ja lakisääteiset vaatimukset huomioiden
• tarpeellisuus todisteiden säilyttämiselle tiedon tuhoamisesta käsitellään
• hyödynnettäessä kolmansia osapuolia tietojen tuhoamiseen käsitellään todisteiden vaatiminen sekä tuhoamisvaatimusten sisällyttäminen toimittajasopimuksiin

Tietoaineiston arkistointi- tai tuhoamisprosessi määritellään dokumentaation yhteydessä ja tietoaineiston omistaja vastaa sen toteutuksesta.

Jos tiedon on laatinut toinen viranomainen, tarpeettomaksi käyneen tiedon tuhoamisesta on ilmoitettava tiedon laatineelle viranomaiselle, jollei sitä palauteta tiedon laatineelle viranomaiselle.

Tietojenkäsittely-ympäristöjen erilaiset toimijat tunnistetaan riittävän turvallisesti ennen pääsyn sallimista tietoihin.

Laitteiden tunnistaminen: Turvallisuusluokitellun tiedon käsittelyyn käytetään vain organisaation tarjoamia ja hallinnoimia, kyseiselle turvallisuusluokalle hyväksyttyjä päätelaitteita. Kaikkien muiden laitteiden kytkeminen turvallisuusluokitellun tiedon käsittely-ympäristöön on yksiselitteisesti kielletty. Henkilöstö on ohjeistettu ja velvoitettu toimimaan ohjeistuksen mukaisesti.

Tietojärjestelmien tunnistaminen: Tietoa keskenään vaihtavat tietojärjestelmät tunnistetaan käyttötapaukseen soveltuvalla tekniikalla, kuten salasanoilla, avaimilla (esim. API-avain), tunnistevälineillä (tokeneilla, esim. oAuth) tai vastaavilla menetelmillä. Tunnistautuminen tehdään salattuja yhteyksiä pitkin.

Mikäli turvallisuusluokittelemattomat salassa pidettävät tiedot on tallennettu pilvipalveluun vain riittävän luotettavaksi arvioidussa salatussa muodossa, jäännösriskit saattavat olla hyväksyttävissä, mikäli salaukseen käytetty avaimisto pystytään luotettavasti tuhoamaan. Menettely voi soveltua myös henkilötietojen tuhoamiseen niiden lakisääteisen säilytysajan jälkeen.

Paperikopio tarkoittaa näytetyn tai siirretyn tiedon pysyvää jäljennöstä fyysiseen muotoon.

Organisaatiolla on työntekijöille ohjeet, jotka rajoittavat henkilötietoja sisältävän materiaalin paperikopioiden luomista. Tämä sisältää tulostetun materiaalin.

Organisaatiolla on oltava toimenpiteet ja toimintatavat tulevan tiedon, käsittelyssä olevan tiedon ja ulos tulevan tiedon turvallista säilytystä varten. Säilytyksessä tulisi ottaa huomioon:

• Säilytettävien tietojen suojaaminen
• Järjestelmälokien arkistointi
• Säilytettävien tietojen kokonaisuus
• Tietojen säilytyksen toimenpiteiden lokin ylläpito

Kaikki säilytettävä tieto tulee suojata varkaudelta, muokkaamiselta ja tuhoamiselta tai muulta tapahtumalta, joka vaikuttaa niiden luottamuksellisuuteen, eheyteen tai saatavuuteen.

Turvallisuusluokka IV

• 1. Ei-sähköisten turvallisuusluokiteltujen tietojen tuhoaminen on järjestetty luotettavasti. Tuhoamisessa käytetään menetelmiä, joilla estetään tietojen kokoaminen uudelleen kokonaan tai osittain. Sähköisessä muodossa olevien tietojen osalta.

Turvallisuusluokka III: Kohdan 1 lisäksi

• 2. Kansainvälisten turvallisuusluokan III (CONFIDENTIAL) tietojen osalta, kirjaajan on allekirjoitettava tuhoamistodistus, joka tallennetaan kirjaamoon/rekisteröintipisteeseen. Kirjaustiedot on päivitettävä vastaavasti. Kirjaamon/rekisteröintipisteen on säilytettävä tuhoamistodistukset vähintään viiden vuoden ajan.

Turvallisuusluokka II: Kohtien 1-2 lisäksi

• 3. Jos tiedon on laatinut toinen viranomainen, tarpeettomaksi käyneen tiedon tuhoamisesta on ilmoitettava tiedon laatineelle viranomaiselle, jollei sitä palauteta tiedon laatineelle viranomaiselle.
• 4. Tiedon tuhoamisen saa suorittaa vain henkilö, jonka viranomainen on tähän tehtävään määrännyt. Valmisteluvaiheen versiot voi tuhota ne laatinut henkilö.
• 5. Kansainvälisten turvallisuusluokan II (SECRET) tietojen tuhoaminen on suoritettava todistajan läsnä ollessa. Todistajalla on oltava vähintään tuhottavan tiedon turvallisuusluokkaa vastaava turvallisuusselvitys.

Tietojen toimittajilla on oltava järjestelmä kaupparaporttitietojen täydellisyyden, oikeellisuuden tarkistamiseksi sekä puutteiden ja muiden virheiden tunnistamiseksi. Raportti on pyydettävä uudelleen, jos tiedoissa on virheitä.

Tietoaineistojen tuhoaminen tulee huomioida myös osana laitteiden elinkaaren hallintaa. Myös oheislaitteet ja muistivälineet tulee huomioida.

Tämä voidaan toteuttaa esimerkiksi:

Lisäämällä laitteistojen (kiintolevyt, muistit, muistikortit, tms.) sisältämän tiedon tietoturvallinen luotettava tuhoaminen osaksi käytöstä poiston, huoltoon lähetyksen ja uusiokäytön prosesseja.

Organisaatio on määritellyt ja ottanut käyttöön prosessin, jolla se palauttaa tai poistaa turvallisesti kaiken tieto-omaosiiden kaikista ulkoisista IT-palveluista, kun esimerkiksi palvelun käyttö lopetetaan.

Kuvaus tarkistetaan ja mukautetaan jatkuvasti asiaankuuluviin muutoksiin ja sitä säännellään sopimuksin.

Tietoaineistoja on käsiteltävä ja säilytettävä toimitiloissa, jotka ovat tietoaineiston luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvien vaatimusten toteuttamiseksi riittävän turvallisia.

Digiturvamallissa tarkempia fyysiseen turvallisuuteen liittyviä toimenpiteitä tarkastellaan työpöydän Fyysinen turvallisuus -moduulin alla.

Rekisteröidyillä on samat oikeudet henkilötietoihinsa, säilytimmepä niitä missä muodossa tahansa. Meidän on kyettävä viestimään käsittelystä ja tarjoamaan rekisteröidyille pääsy henkilötietoihin, olivatpa ne paperilla, paikallisissa tiedostoissa tai tietojärjestelmissä.

Dokumentoimme erikseen henkilötiedot, joita säilytetään tietojärjestelmien ulkopuolella.

Usein työntekijöiden halutaan pääsevän tietojärjestelmiin käsiksi mahdollisimman helposti - mistä ja milloin vain. Tietojen suojaamiseksi voidaan kuitenkin haluta estää tietojen paikallinen lataaminen itse ylläpidetyn verkon ulkopuolella, koska ei voida olla varmoja verkon turvallisuudesta.

Usein työntekijöiden halutaan pääsevän tietojärjestelmiin käsiksi mahdollisimman helposti - mistä ja milloin vain. Tietojen suojaamiseksi voidaan kuitenkin haluta estää tietojen paikallinen lataaminen laitteille, joita ei hallita esimerkiksi organisaation mobiililaitteiden hallinnan kautta.

Information Rights Management (IRM) -suojaus sähköposteille tai tiedostoille auttaa suojaamaan tärkeitä tietoja sekä vahingossa että tahallaan tapahtuvalta paljastumiselta.

Kun henkilö esimerkiksi lataa tiedostoja IRM-suojatusta jaetusta kansiosta, tiedostot on salattu niin, että ainoastaan valitut henkilöt pystyvät avaamaan ne. Tiedostolle voi olla asetettu myös muita rajauksia, kuten muokkauksen esto, tekstin kopioinnin esto, paikallisen kopion tallentamisen esto tai tulostamisen esto.

Data Loss Prevention (DLP) -käytäntöjen avulla voidaan suojata arkaluonteisia tietoja vahingossa tapahtuvalta tai tahalliselta paljastamiselta. Käytännöt voivat hälyttää esimerkiksi havaitessaan arkaluonteista tietoa (esim. henkilötunnuksia tai luottokorttinumeroita) sähköpostissa tai muussa tietojärjestelmässä, jonne ne eivät kuuluisi.

Organisaatio määrittelee päätelaitteisiin liittyvät DLP-käytännöt riskilähtöisesti, huomioiden käsiteltyjen tietoaineistojen tietoluokittelun.

Suuri määrä organisaation arvokkaista tiedoista on usein aikojen saatossa kertynyt vaikeasti löydättäväksi ja hallittavaksi rakenteettomiin tietoihin - exceleihin, tekstidokumentteihin, intranetin sivuille tai sähköposteihin.

Kun nämä tiedot on tunnistettu, niiden määrää voidaan määrätietoisesti pyrkiä minimoimaan. Tärkeille järjestelmien ulkopuolisille tiedoille tehdään joku seuraavista päätöksistä:

• siirretään järjestelmään
• hankkiudutaan eroon (kun tieto vanhaa, ei enää tarpeen tai muuten merkityksetöntä)
• pidetään tietoisesti käytössä ja nimetään vastuuhenkilö hallitsemaan riskejä

Kutsumme rakenteettomia, paikallisia tietoja järjestelmien ulkopuolisiksi tiedoiksi tai "piilotiedoiksi". Pääsyn minimointi on osa tietojen minimointia, joka on tärkeä periaate kaikkia sensitiivisiä tietoja käsiteltäessä.

Mikäli tärkeää dataa on isoilta osin piilossa esim. paikallisissa excel-dokumenteissa, ne saattavat olla jo valmiiksi vain pienen työntekijäjoukon saatavissa. Näiden ihmisten tunnistaminen kuitenkin auttaa ohjeistamista ja turvallisuuskäytäntöjen käyttämistä, samalla kun muut voivat esimerkiksi keskittyä piilotietojen määrän minimointiin yleisesti.