Turvallisuusalueiden hallinta

Kansallisia ja kansainvälisiä turvallisuusluokiteltuja tietoja on säilytettävä ja käsiteltävä, niin turvallisuusalueilla kuin niiden ulkopuolella siten, että pääsy TL-tietoon suojataan ulkopuolisilta.

Jos organisaatio käsittelee kansainvälistä turvallisuusluokiteltua tietoa, on sen määriteltävä vastaava kirjaamo. Kirjaamo tulee määrittää turva-alueeksi.

Kansallisten TL-luokkien II-III ja kansainvälisen TL-luokan III (Confidental) tai korkeamman tiedon vastaanottaminen ja lähettäminen täytyy kirjata.

TL- III ja sitä korkeamman tason tietojen käsittely tulee kirjata sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään tms.

Kansainvälisen TL-luokan III (Confidental) ja sitä korkeamman tason tiedot tulee kirjata sille tarkoitetussa kirjaamossa.

Turvallisuusluokitellun tiedon käsittelyssä tulisi ottaa huomioon:

TL IV:

• Pääsy tietoon suojattu sivullisilta
• Käsittely tapahtuu toimivaltaisen viranomaisen hyväksymällä turva-alueilla
• TL IV tietoja sisältävät tietovarannot ja käsittelyyn käytettävät järjestelmät on sijoitettava viranomaisen hyväksymälle turva-alueelle

Estämisellä tarkoitetaan tiedon suojaamista sekä henkilöiltä, joilla ei ole tiedonsaantitarvetta (need-to-know) kyseiseen keskusteltavaan tietoon että laittomalta tiedustelulta.

Äänieristysvaatimus kohdistuu ainoastaan alueen niihin tiloihin, joissa keskustellaan turvallisuusluokitelluista tiedoista. Äänieristystä voidaan arvioida esimerkiksi kuuntelemalla keskustelua tilan ulkopuolelta ovien, seinien sekä ilmastointiputkien ja muiden läpivientien kohdalta. Tilan äänieristystä voidaan myös tarvittaessa verrata rakenteille annettavaan ilmaääneneristävyysvaatimukseen.

Äänieristysvaatimus voidaan tarvittaessa saavuttaa esimerkiksi tilan uudelleen sijoittelulla, rakenteiden ja läpivientien eristävyyden parantamisella tai arvioitavan tilan ulkopuolisten tilojen taustamelulla.

Kainsainvälistä turvallisuusluokiteltua tietoa säilyttäessä ja käsiteltäessä alueella itsenäinen pääsyoikeus voidaan myöntää vain organisaation asianmukaisesti valtuuttamalle henkilölle. Valtuutetulla henkilöllä tulee olla voimassaoleva kansainvälinen henkilöturvallisuusselvitys (PSC) ja erityinen lupa aluellle tiedonsaantitarpeiden perusteella (need-to-know).

Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot

• turva-alueella tai hallinnollisella alueella soveltuvaksi arvioidussa toimistokalusteessa tai
• tilapäisesti turvallisuusalueiden ulkopuolella jos tiedon käsittelijä on sitoutunut noudattamaan annetuissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä.

Organisaatio säilyttää sähköisessä muodossa olevat tiedot

• turva-alueella tai hallinnollisella alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä tai
• turvallisuusalueiden ulkopuolella vaatimukset täyttävässä päätelaitteessa tai sähköisessä tietovälineessä valvotussa tilassa tai soveltuvassa lukitussa toimistokalusteessa turvapussissa tai vastaavalla tavalla.

Mikäli alueella ei ole tiedon säilytykseen riittäväksi arvioitua säilytysratkaisua, tulisi alueen seinien, lattian, katon, ikkunoiden ja ovien täytettävä vähintään standardin SFS-EN-1627 luokkaa RC3 vastaava suoja.

Mikäli turvallisuusluokitellun tiedon säilytysyksikkönä käytetään lukittua toimistokalustetta, on varmistuttava siitä, että tunkeutumisesta jää murtojälki.

Turvallisuusluokan IV asiakirjoja sisältävät tietovarannot ja näiden asiakirjojen käsittelyyn käytetyt tietojärjestelmät on sijoitettava turvallisuusalueelle (hallinnollinen alue tai turva-alue).

Turvallisuusluokan II tai III asiakirjoja sisältävät tietovarannot ja näiden asiakirjojen käsittelyyn käytetyt tietojärjestelmät on sijoitettava turva-alueelle.

Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa.

Organisaatio säilyttää sähköisessä muodossa olevat tiedot

• turva-alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä tai
• turva-alueiden ulkopuolella vaatimukset täyttävässä päätelaitteessa valvotussa tilassa tai soveltuvassa lukitussa toimistokalusteessa turvapussissa tai vastaavalla tavalla.

Kansainvälisen turvallisuusluoka III (Confidental) tietoa ei voi säilyttää hallinnollisella alueella.

Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa.

Organisaatio säilyttää sähköisessä muodossa olevat tiedot turva-alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä.

Turvallisuusluokan I asiakirjaa saa säilyttää ainoastaan turva-alueella.

Organisaation on tarkastettava kaikki elektroniset laitteet, ennen kuin niitä käytetään sellaisella alueella, jossa käsitellään turvallisuusluokan II tietoja, mikäli tietoihin kohdistuva uhka arvioidaan korkeaksi.

Myös alue on tarkastettava fyysisesti tai teknisesti säännöllisin väliajoin sekä mahdollisen luvattoman sisäänpääsyn tai sen epäilyn johdosta.

The organisation must define procedures and roles for access rights and key management in the area. Access to the area can be restricted either mechanically, electronically or based on personal identification. A responsible person shall be appointed for the area to manage the access rights and key management procedures. Spare keys for the area shall be stored securely and locked in a sealed storage envelope with a date of closure and receipt or, alternatively, in a key cabinet connected to an access control system. Keys shall be handed over in connection with the job and against receipt. The procedure is described in the security management guidelines. Access to the area is not permitted with a master key suitable for a lower level facility.

A responsible person has been appointed to ensure the following access rights and key management procedures are in place.

• Access rights and key management procedures and roles are established, documented and instructed.
• A list of access rights and key holders is maintained.
• Access rights are regularly audited and kept up to date.
• responsibility for additional orders and changes to keys and access codes is assigned.
• key cards, unallocated keys and access codes are stored appropriately.
• the reason for key issuance is documented.
• keys are issued only to the person with independent access rights to the area.
• changes in personnel are communicated to the key management authority as appropriate.

Muilla kuin organisaation asianmukaisesti valtuuttamilla henkilöillä (vierailijoilla) on aina saattaja. Vieraiden isännällä tulee olla itsenäinen pääsyoikeus turvallisuusalueelle, jolle hän vie vieraat sekä oikeus isännöidä vieraita. Vierailumenettelyillä on varmistuttava, ettei vierailulla vaaranneta alueella käsiteltävän tai säilytettävän tiedon luottamuksellisuutta.

Alueella tehtävät huoltotoimenpiteet tapahtuvat vain alueelle itsenäisen pääsyoikeuden saaneen henkilön toimesta tai valvonnassa. Tiedon käsittely alueella on huolto-, asennus- ja siivoustoimien aikana kielletty, jos on vaara, että edellä mainittuja toimenpiteitä suorittava henkilöstö saa tiedon suojattavista tiedosta.

Saattamaton vierailijamenettely (unescorted visitor) on mahdollista hyväksyä alueen niille vierailijoille, jotka täyttävät pääsyoikeuksien myöntämisen vaatimukset.

Organisaation on hyväksynyt menettelyohjeen vierailijoita varten. Vierailijaohje voi käsitellä muun muassa seuraavia asioita:

• Vieras tunnistetaan ja varustetaan vieraskortilla.
• Vierailu kirjataan.
• Vierailijoita ei päästetä tai jätetä alueille valvomatta ja isäntä vastaa ulkopuolisista henkilöistä koko vierailun ajan.
• Henkilöstö on ohjeistettu vierailijoiden isännöintiä varten.
• Huolehtiminen siitä, ettei vieras pääse oikeudettomasti näkemään, kuulemaan tai muutoin saa haltuunsa suojattavaa tietoa.
• Henkilökunta on ohjeistettu reagoimaan ilman tunnistetta liikkuviin henkilöihin.

Hallinnollisella alueella on oltava selkeästi määritelty näkyvä raja, mutta aluetta rajaavalle rakenteelle (seinät, ovet ja ikkunat sekä lattia- ja kattorakenteet) ei aseteta erityisiä vaatimuksia. Alueen rakenne voi olla normaalia toimistorakennetta.

Aluetta rajaavia rakenteita tulee vahventaa, mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi. Näitä vahvennuksia tulee arvioida suhteessa alueen ympäröivien tilojen antamaan muuhun suojaan sekä vartiointihenkilöstön vasteaikaan.

Ainoastaan asianmukaisesti valtuutetuilla henkilöillä on itsenäinen pääsy alueelle. Itsenäisen pääsyn alueelle voi myöntää tiedoista vastaava organisaatio tai sovituilla menettelyillä fyysisen tilan hallinnasta vastaava palvelun tuottaja, kuten esimerkiksi pilvipalvelun toimittaja.

Alue ja sinne johtavat ovet voidaan varustaa tunkeutumisen ilmaisujärjestelmällä (murtohälytysjärjestelmä), mikäli alueella säilytetään turvallisuusluokiteltua tietoa lukittavassa toimistokalusteessa ja murtoriski arvioidaan todennäköiseksi.

Alue tai alueelle johtavat reitit voidaan varustaa tunkeutumisen ilmaisujärjestelmällä (murtohälytysjärjestelmä), mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi. Alueen mahdollista tunkeutumisen ilmaisujärjestelmää tai korvaavaa järjestelyä arvioitaessa tulee ottaa huomioon alueen rakenteita koskevan vaatimuksen yhteydessä käsitelty vasteaika-arvio. Mikäli alue on valvottu tunkeutumisen ilmaisujärjestelmällä, alueen suositellaan olevan valvottu järjestelmän avulla, kun alueella ei työskennellä. Tunkeutumisen ilmaisujärjestelmän sijoitustilan tulisi sijaita sen suojaamalla turvallisuusalueella.

Turva-alueella on oltava selkeästi määritelty näkyvä raja. Mikäli alueella ei ole tiedon säilytykseen riittäväksi arvioitua säilytysratkaisua, on alueen seinien, lattian, katon, ikkunoiden ja ovien tarjottava tietojen säilytyksen edellyttämä turvallisuustaso.

Alueen aukot, joita ei käytetä kulkemiseen, on voitava lukita tai sulkea kalteroinnilla tai vahvoilla terässäleiköillä, jotta alueelle kulkua on mahdollista hallinnoida luotettavasti. Aukot on valvottava tunkeutumisen ilmaisujärjestelmällä, mikäli alueella ei ole henkilöstöä palveluksessa vuorokauden ympäri tai tiloja ei tarkasteta normaalin työajan päätteeksi ja satunnaisiin aikoihin työajan ulkopuolella.

Alueen rakenteita tulee vahventaa, mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi. Alueen rajan ja rakenteiden olisi tällöin oltava betonia, terästä, tiiltä tai vahvaa puuta. Puutteelliset rakenteet, kuten normaali toimistorakenne on vahvennettava. Näitä vahvennuksia tulee arvioida suhteessa alueen ympäröivien tilojen antamaan muuhun suojaan sekä vartiointihenkilöstön vasteaikaan.

Hätäpoistumistiet eivät saa kulkea turva-alueen kautta.

Turva-alueen rajalla käytettävän kulunvalvontajärjestelmän etäyhteydet ja lukijalaitteiden asennus tulee toteuttaa riskienarvioinnin perusteella riittävän tietoturvallisesti siten, että järjestelmään pääsy on vain valtuutetuista päätelaitteista ja verkoista ja että tietoliikenneyhteys ja kulunvalvontajärjestelmän rajapinnat on suojattu siten, että ulkopuolisilla ei ole pääsyä välitettyihin tietoihin.

Kulunvalvontajärjestelmän sijoitustilan tulisi sijaita sen suojaamalla turvallisuusalueella.

Itsenäinen pääsyoikeus alueelle voidaan myöntää vain organisaation asianmukaisesti valtuuttamalle henkilölle, jonka luotettavuus on varmistettu ja jolla on erityinen lupa tulla alueelle.

Luotettavuus tulisi ensisijaisesti varmistaa henkilöturvallisuusselvitysmenettelyn avulla.

Alueelle pääsemisen perusteena tulisi olla tiedonsaantitarve. Tapauskohtaisesti erityinen lupa voi tarkoittaa myös työskentelytarvetta alueella. Alueelle tulee nimetä vastuuhenkilö, joka huolehtii pääsyoikeuksien, kulkutunnisteiden ja avainten hallinnasta.

Jos turva-alueelle tulo merkitsee käytännössä välitöntä pääsyä siellä oleviin turvallisuusluokiteltuihin tietoihin:

• alueella tavanomaisesti säilytettyjen tietojen korkein turvallisuusluokka on ilmoitettava selkeästi sekä
• kaikilla vierailijoilla on oltava erityinen lupa tulla alueelle, heillä on aina oltava saattaja ja heidän luotettavuutensa on oltava varmistettu asianmukaisesti, paitsi jos on varmistettu, ettei vierailijoilla ole pääsyä turvallisuusluokiteltuihin tietoihin

Kullekin turva-alueelle on laadittava ohjeet noudatettavista turvallisuusmenettelyistä.

Kullekin turva-alueelle on laadittava turvallisuusmenettelyt, joissa on ohjeet seuraavista asioista:

• Tiedon säilyttäminen ja käsitteleminen alueella: turvallisuusluokka tiedoille, joita alueella voidaan käsitellä ja säilyttää.
• Sovellettavat valvonta- ja suojatoimenpiteet.
• Pääsyoikeuksien myöntäminen alueelle: henkilöt, joilla on pääsy alueelle ilman saattajaa erityisen luvan ja luotettavuuden varmistamisen perusteella.
• Vierailijat: tarvittaessa menettelyt saattajien käyttämiseksi tai turvallisuusluokiteltujen tietojen suojaamiseksi silloin, kun muille henkilöille myönnetään pääsy alueelle.
• Muut asiaan kuuluvat toimenpiteet ja menettelyt.

Alue, jolla ei ole henkilöstöä palveluksessa vuorokauden ympäri, on tarvittaessa tarkastettava normaalin työajan päätteeksi ja satunnaisiin aikoihin työajan ulkopuolella, paitsi jos alueelle on asennettu tunkeutumisen ilmaisujärjestelmä (murtohälytysjärjestelmä).

Alueen raja ja rakenteet (seinät, ovet ja ikkunat sekä lattia- ja kattorakenteet) ja/tai alueelle johtavat reitit voidaan varustaa tunkeutumisen ilmaisujärjestelmällä (murtohälytysjärjestelmä), mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi.

Järjestelmän etäyhteydet ja hallintalaitteiden asennus tulee toteuttaa riskienarvioinnin perusteella riittävän tietoturvallisesti siten, että järjestelmään pääsy on vain valtuutetuista päätelaitteista ja verkoista ja että tietoliikenneyhteys ja tunkeutumisen ilmaisujärjestelmän rajapinnat on suojattu siten, että ulkopuolisilla ei ole pääsyä välitettyihin tietoihin. Tunkeutumisen ilmaisujärjestelmän sijoitustilan tulisi sijaita sen suojaamalla turvallisuusalueella.

Alueen tunkeutumisen ilmaisujärjestelmän hallinta tulee olla organisaation omassa hallinnassa. Hallinta voi olla ulkoistettu riskien arvioinnin ja tehtävien eriyttämisen perusteella.

Säilytysyksiköiden avaimet tai pääsykoodit ovat sellaisten henkilöiden hallussa, joilla on tiedonsaantitarve säilytysyksikössä säilytettävään tietoon. Kyseisten henkilöiden on osattava numeroyhdistelmät ulkoa.

Turvallisuusluokiteltuja tietoja sisältävien säilytysyksiköiden numeroyhdistelmät on vaihdettava:

• tehdaskoodit on vaihdettava uuden turvallisen säilytyspaikan vastaanoton yhteydessä
• aina, kun numeroyhdistelmän tuntevassa henkilöstössä tapahtuu muutos.
• aina, kun tiedot ovat vaarantuneet tai kun niiden epäillään vaarantuneen.
• kun jokin lukoista on huollettu tai korjattu.

Turvallisuusluokan III käsittely-ympäristöjen etähallinta tulee suorittaa turva-alueelta. Turvallisuusluokan III sekä muissa kriittisissä käsittely-ympäristöissä edellytetään etähallinnan teknistä sitomista hyväksyttyyn etähallintalaitteistoon (esim. laitetunnistus).

Kun salassa pidettävää tietoa siirretään viranomaisen sisäisessä verkossa, organisaatio suorittaa riskinarvioinnin. Tulosten perusteella voidaan joko käyttää alemman tason salausta tai salaamatonta tiedonsiirtoa.

Kun turvallisuusluokiteltua tietoa siirretään hyväksyttyjen fyysisesti suojattujen turvallisuusalueiden sisäpuolella, alemman tason salausta tai salaamatonta siirtoa voidaan käyttää riskinhallintaprosessin tulosten perusteella toimivaltaisen viranomaisen erillishyväksyntään perustuen.

Tilanteissa, joissa turvallisuusluokiteltua tietoa siirretään fyysisesti suojattujen turvallisuusalueiden sisäpuolella,

a) ko. turvallisuusluokan liikennekanava on fyysisesti suojattu (esimerkiksi kaapelointi, joka kulkee kokonaisuudessaan suppean, esimerkiksi vain yhden huoneen kattavan ko. turvallisuusluokan tiedon säilytykseen hyväksytyn fyysisesti suojatun turvallisuusalueen sisällä), tai

b) tieto suojataan riittävän turvallisella matalamman tason salauksella (esim. HTTPS ko. turvallisuusluokan verkon sisäisessä liikenteessä).

Järjestelmien etäkäyttö rajataan toimivaltaisen viranomaisen hyväksymälle turvallisuusalueelle.

Turvallisuusluokan I tietoa saa säilyttää tai muutoin käsitellä ainoastaan turva-alueilla, mikä asettaa rajoitteet myös etäkäytön mahdollisuuksille.

Alue ja sinne johtavat ovet voidaan varustaa tunkeutumisen ilmaisujärjestelmällä (murtohälytysjärjestelmä), mikäli alueella säilytetään turvallisuusluokiteltua tietoa lukittavassa toimistokalusteessa ja murtoriski arvioidaan todennäköiseksi.

Tunkeutumisen ilmaisujärjestelmää voidaan käyttää täydentävänä monitasoisen suojauksen riskienhallintakeinona tai esimerkiksi tilan tekemiseksi "valvotuksi".