Turvallisuusluokka IV
1. Käyttäjät ja päätelaitteet tunnistetaan riittävän luotettavasti. Tietojen välitys ja käsittely turvallisuusalueiden (vrt. F-04) välillä on mahdollista vain toimivaltaisen viranomaisen ko. turvallisuusluokalle hyväksymien korvaavien menettelyjen mukaisesti.
2. Turvallisuusluokiteltuja tietoja on turvallisuusalueiden ulkopuolella käsiteltävä siten, että pääsy turvallisuusluokiteltuihin tietoihin suojataan sivullisilta. Henkilöstö on koulutettu ja ohjeistettu turvalliseen etäkäyttöön/-hallintaan.
3. Elleivät turvallisuusalueiden ulkopuolelle viedyt turvallisuusluokiteltua tietoa sisältävät tietovälineet (kiintolevyt, USB-muistit ja vastaavat) ole salattu toimivaltaisen viranomaisen ko. turvallisuusluokalle hyväksymällä menetelmällä, tietovälineitä ei jätetä valvomatta.
4. Järjestelmien etäkäyttö ja -hallinta edellyttää toimivaltaisen viranomaisen ko. turvallisuusluokan tietojen suojaamiseen hyväksymää liikenteen salausta.
5. Päätelaitteessa olevat tiedot tulee olla suojattu kyseiselle turvallisuusluokalle riittävän turvallisella, toimivaltaisen viranomaisen hyväksymällä salausratkaisulla, ja päätelaitteen ko. turvallisuusluokalle riittävästä eheydestä tulee huolehtia.
Turvallisuusluokka III-II: Kohtien 1-5 lisäksi:
6. Turvallisuusluokiteltuja tietoja ei avata matkalla eikä lueta julkisilla paikoilla.
7. Järjestelmien etäkäyttö ja -hallinta rajataan toimivaltaisen viranomaisen hyväksymälle turvallisuusalueelle (vrt. F-04). Vrt. vain kansallisia tietoja koskeva poikkeus kohdassa 8.
8. Vain kansallisten turvallisuusluokan III sähköisten tietojen etäkäyttö (käsittely) ja säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turvaalueiden ulkopuolella edellyttäen, että a) tiedot on suojattu ko. turvallisuusluokalle riittävän turvallisella, toimivaltaisen viranomaisen hyväksymällä salausratkaisulla, ja että b) päätelaitteen tietoturvallisuudesta, erityisesti ko. turvallisuusluokalle riittävästä luottamuksellisuudesta ja eheydestä on huolehdittu toimivaltaisen viranomaisen hyväksymällä menetelmällä.
Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.
Etätyötä tekevälle henkilöstölle on luotu omat toimintaohjeet, joiden noudattamista seurataan. Lisäksi henkilöstölle järjestetään säännöllisesti koulutusta, jossa selvitetään mobiililaitteiden käytöstä ja etätyöstä aiheutuvia uhkia tietoturvallisuudelle ja kerrataan toimintaohjeita.
Organisaatio on ennalta määritellyt tunnistautumistavat, joita työntekijöiden tulisi suosia tietojärjestelmiä käytettäessä.
Useita pilvipalveluita käyttäessään käyttäjä voi itse määritellä, millä tavalla hän palveluun tunnistautuu. Yksittäinen keskitetty tunnistautumistili (esim. Google- tai Office365-tili) voi auttaa sulkemaan iso määrä pääsyoikeuksia kerralla, kun tunnistautumistapana toimiva käyttäjätili suljetaan.
Kansallisten turvallisuusluokan III sähköisten tietojen etäkäyttö (käsittely) ja säilytys on mahdollista kyseisen turvallisuusluokan mukaisessa päätelaitteessa turva-alueiden ulkopuolella edellyttäen, että
Turvallisuusluokkien III ja II käsittely-ympäristöissä sekä muissa kriittisissä käsittely-ympäristöissä edellytetään käytön teknistä sitomista hyväksyttyyn etäkäyttölaitteistoon (esim. laitetunnistus).
Turvallisuusluokiteltuja tietoja ei lueta tai muuten käsitellä matkalla tai julkisilla paikoilla.
Etäkäytöllä tarkoitetaan organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä useimmiten kannettavalla tietokoneella. Turvallisuusluokitellun tiedon osalta etäkäyttö soveltuu vain turvallisuusluokan IV tiedoille.
Organisaatio huolehtii, että etäkäytössä järjestelmien käyttäjät tunnistetaan käyttäen vahvaa, vähintään kahteen todennustekijään perustuvaa käyttäjätunnistusta.
Etäkäytöllä tarkoitetaan organisaation toimitilojen ulkopuolelta tapahtuvaa tietojärjestelmien käyttöä useimmiten kannettavalla tietokoneella. Turvallisuusluokitellun tiedon osalta etäkäyttö soveltuu vain turvallisuusluokan IV tiedoille.
Organisaatio on luonut toimintatavat seuraavien suojausten toteuttamiseen:
Organisaation on huolehdittava, että etäyhteyksien valvonta ja hallinta on automatisoitu, etäyhteydet on suojattu salauksella niiden eheyden ja luotettavuuden varmistamiseksi ja etäyhteydet kulkevat vain hyväksyttyjen ja hallittujen NAC (Network access control) kautta.
Organisaation on myös mahdollistettava etäyhteyksien sulkeminen määritellyssä ajassa.
Turvallisuusluokan I tietoa saa säilyttää tai muutoin käsitellä ainoastaan turva-alueilla, mikä asettaa rajoitteet myös etäkäytön mahdollisuuksille.
Järjestelmien etäkäyttö rajataan toimivaltaisen viranomaisen hyväksymälle turvallisuusalueelle.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
