Turvallisuusluokka IV
1. Turvallisuusluokiteltuja tietoja on turvallisuusalueilla ja niiden ulkopuolella käsiteltävä siten, että pääsy turvallisuusluokiteltuihin tietoihin suojataan sivullisilta (vrt. F-04 ja I-18).
2. Tietojen käsittely on mahdollista toimivaltaisen viranomaisen hyväksymillä turvallisuusalueilla (vrt. F-04) ja toimivaltaisen viranomaisen hyväksymillä menettelyillä turvallisuusalueiden ulkopuolella (vrt. I-18).
3. Tietojen säilytys on mahdollista toimivaltaisen viranomaisen hyväksymillä turvallisuusalueilla (vrt. F-04) ja toimivaltaisen viranomaisen hyväksymillä menettelyillä turvallisuusalueiden ulkopuolella (vrt. I-18).
4. Turvallisuusluokan IV tietoja sisältävät tietovarannot ja näiden tietojen käsittelyyn käytetyt tietojärjestelmät on sijoitettava toimivaltaisen viranomaisen hyväksymälle turvallisuusalueelle (vrt. F-04).
Turvallisuusluokka III-II: Kohtien 1 ja 2 lisäksi:
5. Tietojen säilytys on mahdollista toimivaltaisen viranomaisen hyväksymillä turva-alueilla (vrt. F-04). Vrt. vain kansallisia tietoja koskeva poikkeus kohdassa 6 sekä etäkäyttö kohdassa I-18.
6. Vain kansallisten turvallisuusluokan III sähköisten tietojen säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turva-alueen ulkopuolella edellyttäen, että a) tiedot on suojattu ko. turvallisuusluokalle riittävän turvallisella, toimivaltaisen viranomaisen hyväksymällä salausratkaisulla (vrt. I-12), ja että b) päätelaitteen tietoturvallisuudesta, erityisesti ko. turvallisuusluokalle riittävästä luottamuksellisuudesta ja eheydestä on huolehdittu toimivaltaisen viranomaisen hyväksymällä menetelmällä (vrt. F-04). Vrt. etäkäyttö kohdassa I-18.
Esimerkiksi tietojenkäsittelyyn käytettävät, sekä muut tärkeät laitteistot, olisi asetettava tiloihin turvallisesti ja harkitusti. Sijoittelun avulla tulee rajoittaa luvatonta pääsyä laitteille.
Pääsyä kriittisiä järjestelmiä sisältäviin rakennuksiin tulee valvoa jatkuvasti luvattoman pääsyn tai epäilyttävän toiminnan havaitsemiseksi. Valvontakäytännöissä tulisi huomioida seuraavat asiat:
Valvontajärjestelmiin liittyvien tietojen tulee olla luottamuksellisia, koska tietojen paljastaminen voi helpottaa havaitsemattomia murtoja. Valvontajärjestelmät itsessään tulee myös suojata asiallisesti, jottei tallenteisiin tai järjestelmän tilaan pääse vaikuttamaan luvatta.
Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa.
Organisaatio säilyttää sähköisessä muodossa olevat tiedot turva-alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä.
Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa.
Organisaatio säilyttää sähköisessä muodossa olevat tiedot
Kansainvälisen turvallisuusluoka III (Confidental) tietoa ei voi säilyttää hallinnollisella alueella.
Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot
Organisaatio säilyttää sähköisessä muodossa olevat tiedot
Mikäli alueella ei ole tiedon säilytykseen riittäväksi arvioitua säilytysratkaisua, tulisi alueen seinien, lattian, katon, ikkunoiden ja ovien täytettävä vähintään standardin SFS-EN-1627 luokkaa RC3 vastaava suoja.
Mikäli turvallisuusluokitellun tiedon säilytysyksikkönä käytetään lukittua toimistokalustetta, on varmistuttava siitä, että tunkeutumisesta jää murtojälki.
Turvallisuusluokitellun tiedon käsittelyssä tulisi ottaa huomioon:
TL IV:
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
