Tietovarantojen ja tietojärjestelmien sijoittaminen (TL IV)

Kansallisia ja kansainvälisiä turvallisuusluokiteltuja tietoja on säilytettävä ja käsiteltävä, niin turvallisuusalueilla kuin niiden ulkopuolella siten, että pääsy TL-tietoon suojataan ulkopuolisilta.

Turvallisuusluokan I tietoa saa säilyttää tai muutoin käsitellä ainoastaan turva-alueilla, mikä asettaa rajoitteet myös etäkäytön mahdollisuuksille.

Järjestelmien etäkäyttö rajataan toimivaltaisen viranomaisen hyväksymälle turvallisuusalueelle.

Kun turvallisuusluokiteltua tietoa siirretään hyväksyttyjen fyysisesti suojattujen turvallisuusalueiden sisäpuolella, alemman tason salausta tai salaamatonta siirtoa voidaan käyttää riskinhallintaprosessin tulosten perusteella toimivaltaisen viranomaisen erillishyväksyntään perustuen.

Tilanteissa, joissa turvallisuusluokiteltua tietoa siirretään fyysisesti suojattujen turvallisuusalueiden sisäpuolella,

a) ko. turvallisuusluokan liikennekanava on fyysisesti suojattu (esimerkiksi kaapelointi, joka kulkee kokonaisuudessaan suppean, esimerkiksi vain yhden huoneen kattavan ko. turvallisuusluokan tiedon säilytykseen hyväksytyn fyysisesti suojatun turvallisuusalueen sisällä), tai

b) tieto suojataan riittävän turvallisella matalamman tason salauksella (esim. HTTPS ko. turvallisuusluokan verkon sisäisessä liikenteessä).

Kun salassa pidettävää tietoa siirretään viranomaisen sisäisessä verkossa, organisaatio suorittaa riskinarvioinnin. Tulosten perusteella voidaan joko käyttää alemman tason salausta tai salaamatonta tiedonsiirtoa.

Turvallisuusluokan III käsittely-ympäristöjen etähallinta tulee suorittaa turva-alueelta. Turvallisuusluokan III sekä muissa kriittisissä käsittely-ympäristöissä edellytetään etähallinnan teknistä sitomista hyväksyttyyn etähallintalaitteistoon (esim. laitetunnistus).

Säilytysyksiköiden avaimet tai pääsykoodit ovat sellaisten henkilöiden hallussa, joilla on tiedonsaantitarve säilytysyksikössä säilytettävään tietoon. Kyseisten henkilöiden on osattava numeroyhdistelmät ulkoa.

Turvallisuusluokiteltuja tietoja sisältävien säilytysyksiköiden numeroyhdistelmät on vaihdettava:

• tehdaskoodit on vaihdettava uuden turvallisen säilytyspaikan vastaanoton yhteydessä
• aina, kun numeroyhdistelmän tuntevassa henkilöstössä tapahtuu muutos.
• aina, kun tiedot ovat vaarantuneet tai kun niiden epäillään vaarantuneen.
• kun jokin lukoista on huollettu tai korjattu.

Alue, jolla ei ole henkilöstöä palveluksessa vuorokauden ympäri, on tarvittaessa tarkastettava normaalin työajan päätteeksi ja satunnaisiin aikoihin työajan ulkopuolella, paitsi jos alueelle on asennettu tunkeutumisen ilmaisujärjestelmä (murtohälytysjärjestelmä).

Alueen raja ja rakenteet (seinät, ovet ja ikkunat sekä lattia- ja kattorakenteet) ja/tai alueelle johtavat reitit voidaan varustaa tunkeutumisen ilmaisujärjestelmällä (murtohälytysjärjestelmä), mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi.

Järjestelmän etäyhteydet ja hallintalaitteiden asennus tulee toteuttaa riskienarvioinnin perusteella riittävän tietoturvallisesti siten, että järjestelmään pääsy on vain valtuutetuista päätelaitteista ja verkoista ja että tietoliikenneyhteys ja tunkeutumisen ilmaisujärjestelmän rajapinnat on suojattu siten, että ulkopuolisilla ei ole pääsyä välitettyihin tietoihin. Tunkeutumisen ilmaisujärjestelmän sijoitustilan tulisi sijaita sen suojaamalla turvallisuusalueella.

Alueen tunkeutumisen ilmaisujärjestelmän hallinta tulee olla organisaation omassa hallinnassa. Hallinta voi olla ulkoistettu riskien arvioinnin ja tehtävien eriyttämisen perusteella.

Kullekin turva-alueelle on laadittava ohjeet noudatettavista turvallisuusmenettelyistä.

Kullekin turva-alueelle on laadittava turvallisuusmenettelyt, joissa on ohjeet seuraavista asioista:

• Tiedon säilyttäminen ja käsitteleminen alueella: turvallisuusluokka tiedoille, joita alueella voidaan käsitellä ja säilyttää.
• Sovellettavat valvonta- ja suojatoimenpiteet.
• Pääsyoikeuksien myöntäminen alueelle: henkilöt, joilla on pääsy alueelle ilman saattajaa erityisen luvan ja luotettavuuden varmistamisen perusteella.
• Vierailijat: tarvittaessa menettelyt saattajien käyttämiseksi tai turvallisuusluokiteltujen tietojen suojaamiseksi silloin, kun muille henkilöille myönnetään pääsy alueelle.
• Muut asiaan kuuluvat toimenpiteet ja menettelyt.

Jos turva-alueelle tulo merkitsee käytännössä välitöntä pääsyä siellä oleviin turvallisuusluokiteltuihin tietoihin:

• alueella tavanomaisesti säilytettyjen tietojen korkein turvallisuusluokka on ilmoitettava selkeästi sekä
• kaikilla vierailijoilla on oltava erityinen lupa tulla alueelle, heillä on aina oltava saattaja ja heidän luotettavuutensa on oltava varmistettu asianmukaisesti, paitsi jos on varmistettu, ettei vierailijoilla ole pääsyä turvallisuusluokiteltuihin tietoihin

Itsenäinen pääsyoikeus alueelle voidaan myöntää vain organisaation asianmukaisesti valtuuttamalle henkilölle, jonka luotettavuus on varmistettu ja jolla on erityinen lupa tulla alueelle.

Luotettavuus tulisi ensisijaisesti varmistaa henkilöturvallisuusselvitysmenettelyn avulla.

Alueelle pääsemisen perusteena tulisi olla tiedonsaantitarve. Tapauskohtaisesti erityinen lupa voi tarkoittaa myös työskentelytarvetta alueella. Alueelle tulee nimetä vastuuhenkilö, joka huolehtii pääsyoikeuksien, kulkutunnisteiden ja avainten hallinnasta.

Turva-alueen rajalla käytettävän kulunvalvontajärjestelmän etäyhteydet ja lukijalaitteiden asennus tulee toteuttaa riskienarvioinnin perusteella riittävän tietoturvallisesti siten, että järjestelmään pääsy on vain valtuutetuista päätelaitteista ja verkoista ja että tietoliikenneyhteys ja kulunvalvontajärjestelmän rajapinnat on suojattu siten, että ulkopuolisilla ei ole pääsyä välitettyihin tietoihin.

Kulunvalvontajärjestelmän sijoitustilan tulisi sijaita sen suojaamalla turvallisuusalueella.

Turva-alueella on oltava selkeästi määritelty näkyvä raja. Mikäli alueella ei ole tiedon säilytykseen riittäväksi arvioitua säilytysratkaisua, on alueen seinien, lattian, katon, ikkunoiden ja ovien tarjottava tietojen säilytyksen edellyttämä turvallisuustaso.

Alueen aukot, joita ei käytetä kulkemiseen, on voitava lukita tai sulkea kalteroinnilla tai vahvoilla terässäleiköillä, jotta alueelle kulkua on mahdollista hallinnoida luotettavasti. Aukot on valvottava tunkeutumisen ilmaisujärjestelmällä, mikäli alueella ei ole henkilöstöä palveluksessa vuorokauden ympäri tai tiloja ei tarkasteta normaalin työajan päätteeksi ja satunnaisiin aikoihin työajan ulkopuolella.

Alueen rakenteita tulee vahventaa, mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi. Alueen rajan ja rakenteiden olisi tällöin oltava betonia, terästä, tiiltä tai vahvaa puuta. Puutteelliset rakenteet, kuten normaali toimistorakenne on vahvennettava. Näitä vahvennuksia tulee arvioida suhteessa alueen ympäröivien tilojen antamaan muuhun suojaan sekä vartiointihenkilöstön vasteaikaan.

Hätäpoistumistiet eivät saa kulkea turva-alueen kautta.

Alue ja sinne johtavat ovet voidaan varustaa tunkeutumisen ilmaisujärjestelmällä (murtohälytysjärjestelmä), mikäli alueella säilytetään turvallisuusluokiteltua tietoa lukittavassa toimistokalusteessa ja murtoriski arvioidaan todennäköiseksi.

Alue tai alueelle johtavat reitit voidaan varustaa tunkeutumisen ilmaisujärjestelmällä (murtohälytysjärjestelmä), mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi. Alueen mahdollista tunkeutumisen ilmaisujärjestelmää tai korvaavaa järjestelyä arvioitaessa tulee ottaa huomioon alueen rakenteita koskevan vaatimuksen yhteydessä käsitelty vasteaika-arvio. Mikäli alue on valvottu tunkeutumisen ilmaisujärjestelmällä, alueen suositellaan olevan valvottu järjestelmän avulla, kun alueella ei työskennellä. Tunkeutumisen ilmaisujärjestelmän sijoitustilan tulisi sijaita sen suojaamalla turvallisuusalueella.

Ainoastaan asianmukaisesti valtuutetuilla henkilöillä on itsenäinen pääsy alueelle. Itsenäisen pääsyn alueelle voi myöntää tiedoista vastaava organisaatio tai sovituilla menettelyillä fyysisen tilan hallinnasta vastaava palvelun tuottaja, kuten esimerkiksi pilvipalvelun toimittaja.

Hallinnollisella alueella on oltava selkeästi määritelty näkyvä raja, mutta aluetta rajaavalle rakenteelle (seinät, ovet ja ikkunat sekä lattia- ja kattorakenteet) ei aseteta erityisiä vaatimuksia. Alueen rakenne voi olla normaalia toimistorakennetta.

Aluetta rajaavia rakenteita tulee vahventaa, mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi. Näitä vahvennuksia tulee arvioida suhteessa alueen ympäröivien tilojen antamaan muuhun suojaan sekä vartiointihenkilöstön vasteaikaan.

Muilla kuin organisaation asianmukaisesti valtuuttamilla henkilöillä (vierailijoilla) on aina saattaja. Vieraiden isännällä tulee olla itsenäinen pääsyoikeus turvallisuusalueelle, jolle hän vie vieraat sekä oikeus isännöidä vieraita. Vierailumenettelyillä on varmistuttava, ettei vierailulla vaaranneta alueella käsiteltävän tai säilytettävän tiedon luottamuksellisuutta.

Alueella tehtävät huoltotoimenpiteet tapahtuvat vain alueelle itsenäisen pääsyoikeuden saaneen henkilön toimesta tai valvonnassa. Tiedon käsittely alueella on huolto-, asennus- ja siivoustoimien aikana kielletty, jos on vaara, että edellä mainittuja toimenpiteitä suorittava henkilöstö saa tiedon suojattavista tiedosta.

Saattamaton vierailijamenettely (unescorted visitor) on mahdollista hyväksyä alueen niille vierailijoille, jotka täyttävät pääsyoikeuksien myöntämisen vaatimukset.

Organisaation on hyväksynyt menettelyohjeen vierailijoita varten. Vierailijaohje voi käsitellä muun muassa seuraavia asioita:

• Vieras tunnistetaan ja varustetaan vieraskortilla.
• Vierailu kirjataan.
• Vierailijoita ei päästetä tai jätetä alueille valvomatta ja isäntä vastaa ulkopuolisista henkilöistä koko vierailun ajan.
• Henkilöstö on ohjeistettu vierailijoiden isännöintiä varten.
• Huolehtiminen siitä, ettei vieras pääse oikeudettomasti näkemään, kuulemaan tai muutoin saa haltuunsa suojattavaa tietoa.
• Henkilökunta on ohjeistettu reagoimaan ilman tunnistetta liikkuviin henkilöihin.

Organisaation on määriteltävä alueen pääsyoikeuksien ja avainhallinnan menettelyt ja roolit. Pääsyn rajaaminen alueelle voidaan toteuttaa joko mekaanisesti, elektronisesti tai henkilökohtaiseen tunnistamiseen perustuen. Alueelle tulee nimetä vastuuhenkilö, joka huolehtii pääsyoikeuksien ja avainhallinnan menettelyistä. Alueen vara-avaimia säilytetään turvallisesti ja suljettuna sinetöityyn, sulkemispäiväyksellä ja kuittauksella varustettuun säilytyskuoreen tai vaihtoehtoisesti kulunvalvontaan liitetyssä avainkaapissa. Avaimet luovutetaan työtehtävään liittyen ja kuittausta vastaan. Menettely on kuvattu turvallisuuden hallintaohjeissa. Alueelle ei saa päästä alemman luokan tilaan sopivalla yleisavaimella.

Alueelle on nimetty vastuuhenkilö, joka huolehtii seuraavista pääsyoikeuksien ja avainhallinnan menettelyistä.

• pääsyoikeuksien ja avainten hallinnan menettelytavat ja roolit on luotu, dokumentoitu ja ohjeistettu.
• pääsyoikeuksien ja avainten haltijoista on lista.
• pääsyoikeudet tarkastetaan säännöllisesti ja ne pidetään ajan tasalla.
• avainten ja kulkutunnisteiden lisätilauksia ja muutoksia koskevat toimet on vastuutettu.
• avainkortteja, jakamattomia avaimia ja kulkutunnisteita säilytetään asianmukaisesti.
• avaimen luovutusperuste kirjataan dokumenttiin.
• avaimet luovutetaan vain itsenäisen pääsyoikeuden alueelle saaneelle henkilölle.
• henkilöstössä tapahtuvat muutokset välittyvät tarvittaessa avainten hallintaoikeuteen.

Organisaation on tarkastettava kaikki elektroniset laitteet, ennen kuin niitä käytetään sellaisella alueella, jossa käsitellään turvallisuusluokan II tietoja, mikäli tietoihin kohdistuva uhka arvioidaan korkeaksi.

Myös alue on tarkastettava fyysisesti tai teknisesti säännöllisin väliajoin sekä mahdollisen luvattoman sisäänpääsyn tai sen epäilyn johdosta.

Turvallisuusluokan I asiakirjaa saa säilyttää ainoastaan turva-alueella.

Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa.

Organisaatio säilyttää sähköisessä muodossa olevat tiedot turva-alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä.

Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa.

Organisaatio säilyttää sähköisessä muodossa olevat tiedot

• turva-alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä tai
• turva-alueiden ulkopuolella vaatimukset täyttävässä päätelaitteessa valvotussa tilassa tai soveltuvassa lukitussa toimistokalusteessa turvapussissa tai vastaavalla tavalla.

Kansainvälisen turvallisuusluoka III (Confidental) tietoa ei voi säilyttää hallinnollisella alueella.

Turvallisuusluokan II tai III asiakirjoja sisältävät tietovarannot ja näiden asiakirjojen käsittelyyn käytetyt tietojärjestelmät on sijoitettava turva-alueelle.

Turvallisuusluokan IV asiakirjoja sisältävät tietovarannot ja näiden asiakirjojen käsittelyyn käytetyt tietojärjestelmät on sijoitettava turvallisuusalueelle (hallinnollinen alue tai turva-alue).

Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot

• turva-alueella tai hallinnollisella alueella soveltuvaksi arvioidussa toimistokalusteessa tai
• tilapäisesti turvallisuusalueiden ulkopuolella jos tiedon käsittelijä on sitoutunut noudattamaan annetuissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä.

Organisaatio säilyttää sähköisessä muodossa olevat tiedot

• turva-alueella tai hallinnollisella alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä tai
• turvallisuusalueiden ulkopuolella vaatimukset täyttävässä päätelaitteessa tai sähköisessä tietovälineessä valvotussa tilassa tai soveltuvassa lukitussa toimistokalusteessa turvapussissa tai vastaavalla tavalla.

Mikäli alueella ei ole tiedon säilytykseen riittäväksi arvioitua säilytysratkaisua, tulisi alueen seinien, lattian, katon, ikkunoiden ja ovien täytettävä vähintään standardin SFS-EN-1627 luokkaa RC3 vastaava suoja.

Mikäli turvallisuusluokitellun tiedon säilytysyksikkönä käytetään lukittua toimistokalustetta, on varmistuttava siitä, että tunkeutumisesta jää murtojälki.

Kainsainvälistä turvallisuusluokiteltua tietoa säilyttäessä ja käsiteltäessä alueella itsenäinen pääsyoikeus voidaan myöntää vain organisaation asianmukaisesti valtuuttamalle henkilölle. Valtuutetulla henkilöllä tulee olla voimassaoleva kansainvälinen henkilöturvallisuusselvitys (PSC) ja erityinen lupa aluellle tiedonsaantitarpeiden perusteella (need-to-know).

Estämisellä tarkoitetaan tiedon suojaamista sekä henkilöiltä, joilla ei ole tiedonsaantitarvetta (need-to-know) kyseiseen keskusteltavaan tietoon että laittomalta tiedustelulta.

Äänieristysvaatimus kohdistuu ainoastaan alueen niihin tiloihin, joissa keskustellaan turvallisuusluokitelluista tiedoista. Äänieristystä voidaan arvioida esimerkiksi kuuntelemalla keskustelua tilan ulkopuolelta ovien, seinien sekä ilmastointiputkien ja muiden läpivientien kohdalta. Tilan äänieristystä voidaan myös tarvittaessa verrata rakenteille annettavaan ilmaääneneristävyysvaatimukseen.

Äänieristysvaatimus voidaan tarvittaessa saavuttaa esimerkiksi tilan uudelleen sijoittelulla, rakenteiden ja läpivientien eristävyyden parantamisella tai arvioitavan tilan ulkopuolisten tilojen taustamelulla.

Turvallisuusluokitellun tiedon käsittelyssä tulisi ottaa huomioon:

TL IV:

• Pääsy tietoon suojattu sivullisilta
• Käsittely tapahtuu toimivaltaisen viranomaisen hyväksymällä turva-alueilla
• TL IV tietoja sisältävät tietovarannot ja käsittelyyn käytettävät järjestelmät on sijoitettava viranomaisen hyväksymälle turva-alueelle

Jos organisaatio käsittelee kansainvälistä turvallisuusluokiteltua tietoa, on sen määriteltävä vastaava kirjaamo. Kirjaamo tulee määrittää turva-alueeksi.

Kansallisten TL-luokkien II-III ja kansainvälisen TL-luokan III (Confidental) tai korkeamman tiedon vastaanottaminen ja lähettäminen täytyy kirjata.

TL- III ja sitä korkeamman tason tietojen käsittely tulee kirjata sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään tms.

Kansainvälisen TL-luokan III (Confidental) ja sitä korkeamman tason tiedot tulee kirjata sille tarkoitetussa kirjaamossa.

Alue ja sinne johtavat ovet voidaan varustaa tunkeutumisen ilmaisujärjestelmällä (murtohälytysjärjestelmä), mikäli alueella säilytetään turvallisuusluokiteltua tietoa lukittavassa toimistokalusteessa ja murtoriski arvioidaan todennäköiseksi.

Tunkeutumisen ilmaisujärjestelmää voidaan käyttää täydentävänä monitasoisen suojauksen riskienhallintakeinona tai esimerkiksi tilan tekemiseksi "valvotuksi".