Classification of information assets

Sensitiivistä tietoa sisältävät paperit olisi tuhottava sovitusti, esimerkiksi käyttäen katkaisusilppuria tai polttamalla.

Etenkin kun paikallista tai rakenteetonta tietoa on toiminnan luonteen vuoksi tarpeen käsitellä paljon, voi olla tarpeen kehittää koulutusta, joka kuvaa näihin liittyiviä riskejä henkilöstölle.

Paikallisen ja rakenteettoman tiedon yleisiä ongelmia ovat mm.:

• ei varmuuskopiointia
• ei pääsynhallintaa
• vaikea löydettävyys

Tiedoille, joiden et haluat häviävän, joiden käyttöä haluat valvoa tai jotka on tärkeä löytää jatkossa, henkilöstön pitäisi käyttää niihin suunniteltuja järjestelmiä.

Tietoaineistojen omistajat (tai liittyvän tieto-omaisuuden, kuten tietovarannon tai tietojärjestelmän) omistajat vastaavat tietoaineistojen luokitteluista ja luokittelun vastaavuudesta tietoluokkien määritelmiin.

Omistaja päivittää tietoluokittelua omaisuuden elinkaaren aikana sen arvon, arkaluonteisuuden ja kriittisyyden vaihtelun mukaisesti.

Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.

Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.

Tietoluokat voivat olla esimerkiksi seuraavia:

• tietojen paljastaminen ei aiheuta harmia (JULKINEN)
• tietojen paljastaminen aiheuttaa lievää kiusaa tai vähäistä toiminnallista harmia (LUOTTAMUKSELLINEN)
• tietojen paljastamisella on huomattavia lyhyen aikavälin vaikutuksia toimintaan tai taktisiin tavoitteisiin (RAJOITETTU)
• tietojen paljastamisella on vakavia vaikutuksia pitkän aikavälin strategisiin tavoitteisiin tai se vaarantaa koko organisaation olemassaolon (KIELLETTY)

RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:

• Lukittu kaappi
• Luotettu siirtokumppani
• Sinetöidyt kirjekuoret
• Turvallinen hävittäminen

RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:

• Valitun salaustason käyttö
• Salasanasuojaus
• Turvallinen hävittäminen
• Tarkemmin rajatut pääsyoikeudet

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

• luvaton pääsy tietoihin / tiloihin
• tietoturvaohjeiden vastainen toiminta
• epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
• tietojärjestelmän käyttökatko
• tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
• kadonnut tai varastettu laite
• vaarantunut salasana
• kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
• epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Organisaation on huomioitava henkilöstön salassapidettävien tietojen turvallisen tuhoamisen prosesseissa. Organisaation tulee järjestää henkilöstölle yksikäsitteinen tapa tietojen tuhoamiseen ja ohjeistaa relevanttia henkilöstöä tämän tavan käyttämisessä.

Tarpeettomat tietovälineet olisi hävitettävä turvallisella, toimialalla yleisesti hyväksytyllä, tavalla (esimerkiksi polttamalla, silppuamalla tai pyyhkimällä) muodollisten menettelyjen mukaisesti. Turvallista hävittämistä edellyttävät tietovälineet on merkitty selkeästi.

Prosessin mukaisesti hävitettyjen tietojen ei tule olla palautettavissa edes rikosteknisin keinoin.

Tiedon merkitsemistavat on määritelty, ne ovat helposti tunnistettavia ja ne kattavat sekä fyysiset että sähköiset tiedot ja omaisuudet. Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Henkilöstöä ohjeistetaan merkintöjen tekemisestä.

Turvallista hävittämistä edellyttävien tietovälineiden tunnistamiseen ja merkitseen on olemassa sovitut menettelyt.