Turvallisuusalueiden pääsyoikeuksien ja avaintenhallinnan menettelyt

Kansallisia ja kansainvälisiä turvallisuusluokiteltuja tietoja on säilytettävä ja käsiteltävä, niin turvallisuusalueilla kuin niiden ulkopuolella siten, että pääsy TL-tietoon suojataan ulkopuolisilta.

Turvallisuusluokan I tietoa saa säilyttää tai muutoin käsitellä ainoastaan turva-alueilla, mikä asettaa rajoitteet myös etäkäytön mahdollisuuksille.

Järjestelmien etäkäyttö rajataan toimivaltaisen viranomaisen hyväksymälle turvallisuusalueelle.

Kun turvallisuusluokiteltua tietoa siirretään hyväksyttyjen fyysisesti suojattujen turvallisuusalueiden sisäpuolella, alemman tason salausta tai salaamatonta siirtoa voidaan käyttää riskinhallintaprosessin tulosten perusteella toimivaltaisen viranomaisen erillishyväksyntään perustuen.

Tilanteissa, joissa turvallisuusluokiteltua tietoa siirretään fyysisesti suojattujen turvallisuusalueiden sisäpuolella,

a) ko. turvallisuusluokan liikennekanava on fyysisesti suojattu (esimerkiksi kaapelointi, joka kulkee kokonaisuudessaan suppean, esimerkiksi vain yhden huoneen kattavan ko. turvallisuusluokan tiedon säilytykseen hyväksytyn fyysisesti suojatun turvallisuusalueen sisällä), tai

b) tieto suojataan riittävän turvallisella matalamman tason salauksella (esim. HTTPS ko. turvallisuusluokan verkon sisäisessä liikenteessä).

Kun salassa pidettävää tietoa siirretään viranomaisen sisäisessä verkossa, organisaatio suorittaa riskinarvioinnin. Tulosten perusteella voidaan joko käyttää alemman tason salausta tai salaamatonta tiedonsiirtoa.

Turvallisuusluokan III käsittely-ympäristöjen etähallinta tulee suorittaa turva-alueelta. Turvallisuusluokan III sekä muissa kriittisissä käsittely-ympäristöissä edellytetään etähallinnan teknistä sitomista hyväksyttyyn etähallintalaitteistoon (esim. laitetunnistus).

Säilytysyksiköiden avaimet tai pääsykoodit ovat sellaisten henkilöiden hallussa, joilla on tiedonsaantitarve säilytysyksikössä säilytettävään tietoon. Kyseisten henkilöiden on osattava numeroyhdistelmät ulkoa.

Turvallisuusluokiteltuja tietoja sisältävien säilytysyksiköiden numeroyhdistelmät on vaihdettava:

• tehdaskoodit on vaihdettava uuden turvallisen säilytyspaikan vastaanoton yhteydessä
• aina, kun numeroyhdistelmän tuntevassa henkilöstössä tapahtuu muutos.
• aina, kun tiedot ovat vaarantuneet tai kun niiden epäillään vaarantuneen.
• kun jokin lukoista on huollettu tai korjattu.

An area that is not staffed around the clock must be checked, if necessary, at the end of normal working hours and at random times outside of working hours, except if an intrusion detection system (burglary alarm system) is installed in the area.

The boundary and structures of the area (walls, doors and windows as well as floor and ceiling structures) and/or the routes leading to the area can be equipped with an intrusion detection system (burglary alarm system), if security-classified information is kept in the area and the risk of burglary is assessed as probable.

The system's remote connections and the installation of control devices must be carried out based on a risk assessment with sufficient information security, so that access to the system is only from authorized terminals and networks and that the communication connection and the interfaces of the intrusion detection system are protected so that outsiders do not have access to the transmitted data. The location of the intrusion detection system should be located in the security area protected by it.

The management of the intrusion detection system in the area should be under the organization's own control. Management can be outsourced based on risk assessment and seperation of tasks.

Kullekin turva-alueelle on laadittava ohjeet noudatettavista turvallisuusmenettelyistä.

Kullekin turva-alueelle on laadittava turvallisuusmenettelyt, joissa on ohjeet seuraavista asioista:

• Tiedon säilyttäminen ja käsitteleminen alueella: turvallisuusluokka tiedoille, joita alueella voidaan käsitellä ja säilyttää.
• Sovellettavat valvonta- ja suojatoimenpiteet.
• Pääsyoikeuksien myöntäminen alueelle: henkilöt, joilla on pääsy alueelle ilman saattajaa erityisen luvan ja luotettavuuden varmistamisen perusteella.
• Vierailijat: tarvittaessa menettelyt saattajien käyttämiseksi tai turvallisuusluokiteltujen tietojen suojaamiseksi silloin, kun muille henkilöille myönnetään pääsy alueelle.
• Muut asiaan kuuluvat toimenpiteet ja menettelyt.

Jos turva-alueelle tulo merkitsee käytännössä välitöntä pääsyä siellä oleviin turvallisuusluokiteltuihin tietoihin:

• alueella tavanomaisesti säilytettyjen tietojen korkein turvallisuusluokka on ilmoitettava selkeästi sekä
• kaikilla vierailijoilla on oltava erityinen lupa tulla alueelle, heillä on aina oltava saattaja ja heidän luotettavuutensa on oltava varmistettu asianmukaisesti, paitsi jos on varmistettu, ettei vierailijoilla ole pääsyä turvallisuusluokiteltuihin tietoihin

Itsenäinen pääsyoikeus alueelle voidaan myöntää vain organisaation asianmukaisesti valtuuttamalle henkilölle, jonka luotettavuus on varmistettu ja jolla on erityinen lupa tulla alueelle.

Luotettavuus tulisi ensisijaisesti varmistaa henkilöturvallisuusselvitysmenettelyn avulla.

Alueelle pääsemisen perusteena tulisi olla tiedonsaantitarve. Tapauskohtaisesti erityinen lupa voi tarkoittaa myös työskentelytarvetta alueella. Alueelle tulee nimetä vastuuhenkilö, joka huolehtii pääsyoikeuksien, kulkutunnisteiden ja avainten hallinnasta.

Turva-alueen rajalla käytettävän kulunvalvontajärjestelmän etäyhteydet ja lukijalaitteiden asennus tulee toteuttaa riskienarvioinnin perusteella riittävän tietoturvallisesti siten, että järjestelmään pääsy on vain valtuutetuista päätelaitteista ja verkoista ja että tietoliikenneyhteys ja kulunvalvontajärjestelmän rajapinnat on suojattu siten, että ulkopuolisilla ei ole pääsyä välitettyihin tietoihin.

Kulunvalvontajärjestelmän sijoitustilan tulisi sijaita sen suojaamalla turvallisuusalueella.

Turva-alueella on oltava selkeästi määritelty näkyvä raja. Mikäli alueella ei ole tiedon säilytykseen riittäväksi arvioitua säilytysratkaisua, on alueen seinien, lattian, katon, ikkunoiden ja ovien tarjottava tietojen säilytyksen edellyttämä turvallisuustaso.

Alueen aukot, joita ei käytetä kulkemiseen, on voitava lukita tai sulkea kalteroinnilla tai vahvoilla terässäleiköillä, jotta alueelle kulkua on mahdollista hallinnoida luotettavasti. Aukot on valvottava tunkeutumisen ilmaisujärjestelmällä, mikäli alueella ei ole henkilöstöä palveluksessa vuorokauden ympäri tai tiloja ei tarkasteta normaalin työajan päätteeksi ja satunnaisiin aikoihin työajan ulkopuolella.

Alueen rakenteita tulee vahventaa, mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi. Alueen rajan ja rakenteiden olisi tällöin oltava betonia, terästä, tiiltä tai vahvaa puuta. Puutteelliset rakenteet, kuten normaali toimistorakenne on vahvennettava. Näitä vahvennuksia tulee arvioida suhteessa alueen ympäröivien tilojen antamaan muuhun suojaan sekä vartiointihenkilöstön vasteaikaan.

Hätäpoistumistiet eivät saa kulkea turva-alueen kautta.

Alue ja sinne johtavat ovet voidaan varustaa tunkeutumisen ilmaisujärjestelmällä (murtohälytysjärjestelmä), mikäli alueella säilytetään turvallisuusluokiteltua tietoa lukittavassa toimistokalusteessa ja murtoriski arvioidaan todennäköiseksi.

Alue tai alueelle johtavat reitit voidaan varustaa tunkeutumisen ilmaisujärjestelmällä (murtohälytysjärjestelmä), mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi. Alueen mahdollista tunkeutumisen ilmaisujärjestelmää tai korvaavaa järjestelyä arvioitaessa tulee ottaa huomioon alueen rakenteita koskevan vaatimuksen yhteydessä käsitelty vasteaika-arvio. Mikäli alue on valvottu tunkeutumisen ilmaisujärjestelmällä, alueen suositellaan olevan valvottu järjestelmän avulla, kun alueella ei työskennellä. Tunkeutumisen ilmaisujärjestelmän sijoitustilan tulisi sijaita sen suojaamalla turvallisuusalueella.

Ainoastaan asianmukaisesti valtuutetuilla henkilöillä on itsenäinen pääsy alueelle. Itsenäisen pääsyn alueelle voi myöntää tiedoista vastaava organisaatio tai sovituilla menettelyillä fyysisen tilan hallinnasta vastaava palvelun tuottaja, kuten esimerkiksi pilvipalvelun toimittaja.

Hallinnollisella alueella on oltava selkeästi määritelty näkyvä raja, mutta aluetta rajaavalle rakenteelle (seinät, ovet ja ikkunat sekä lattia- ja kattorakenteet) ei aseteta erityisiä vaatimuksia. Alueen rakenne voi olla normaalia toimistorakennetta.

Aluetta rajaavia rakenteita tulee vahventaa, mikäli alueella säilytetään turvallisuusluokiteltua tietoa ja murtoriski arvioidaan todennäköiseksi. Näitä vahvennuksia tulee arvioida suhteessa alueen ympäröivien tilojen antamaan muuhun suojaan sekä vartiointihenkilöstön vasteaikaan.

Muilla kuin organisaation asianmukaisesti valtuuttamilla henkilöillä (vierailijoilla) on aina saattaja. Vieraiden isännällä tulee olla itsenäinen pääsyoikeus turvallisuusalueelle, jolle hän vie vieraat sekä oikeus isännöidä vieraita. Vierailumenettelyillä on varmistuttava, ettei vierailulla vaaranneta alueella käsiteltävän tai säilytettävän tiedon luottamuksellisuutta.

Alueella tehtävät huoltotoimenpiteet tapahtuvat vain alueelle itsenäisen pääsyoikeuden saaneen henkilön toimesta tai valvonnassa. Tiedon käsittely alueella on huolto-, asennus- ja siivoustoimien aikana kielletty, jos on vaara, että edellä mainittuja toimenpiteitä suorittava henkilöstö saa tiedon suojattavista tiedosta.

Saattamaton vierailijamenettely (unescorted visitor) on mahdollista hyväksyä alueen niille vierailijoille, jotka täyttävät pääsyoikeuksien myöntämisen vaatimukset.

Organisaation on hyväksynyt menettelyohjeen vierailijoita varten. Vierailijaohje voi käsitellä muun muassa seuraavia asioita:

• Vieras tunnistetaan ja varustetaan vieraskortilla.
• Vierailu kirjataan.
• Vierailijoita ei päästetä tai jätetä alueille valvomatta ja isäntä vastaa ulkopuolisista henkilöistä koko vierailun ajan.
• Henkilöstö on ohjeistettu vierailijoiden isännöintiä varten.
• Huolehtiminen siitä, ettei vieras pääse oikeudettomasti näkemään, kuulemaan tai muutoin saa haltuunsa suojattavaa tietoa.
• Henkilökunta on ohjeistettu reagoimaan ilman tunnistetta liikkuviin henkilöihin.

Organisaation on määriteltävä alueen pääsyoikeuksien ja avainhallinnan menettelyt ja roolit. Pääsyn rajaaminen alueelle voidaan toteuttaa joko mekaanisesti, elektronisesti tai henkilökohtaiseen tunnistamiseen perustuen. Alueelle tulee nimetä vastuuhenkilö, joka huolehtii pääsyoikeuksien ja avainhallinnan menettelyistä. Alueen vara-avaimia säilytetään turvallisesti ja suljettuna sinetöityyn, sulkemispäiväyksellä ja kuittauksella varustettuun säilytyskuoreen tai vaihtoehtoisesti kulunvalvontaan liitetyssä avainkaapissa. Avaimet luovutetaan työtehtävään liittyen ja kuittausta vastaan. Menettely on kuvattu turvallisuuden hallintaohjeissa. Alueelle ei saa päästä alemman luokan tilaan sopivalla yleisavaimella.

Alueelle on nimetty vastuuhenkilö, joka huolehtii seuraavista pääsyoikeuksien ja avainhallinnan menettelyistä.

• pääsyoikeuksien ja avainten hallinnan menettelytavat ja roolit on luotu, dokumentoitu ja ohjeistettu.
• pääsyoikeuksien ja avainten haltijoista on lista.
• pääsyoikeudet tarkastetaan säännöllisesti ja ne pidetään ajan tasalla.
• avainten ja kulkutunnisteiden lisätilauksia ja muutoksia koskevat toimet on vastuutettu.
• avainkortteja, jakamattomia avaimia ja kulkutunnisteita säilytetään asianmukaisesti.
• avaimen luovutusperuste kirjataan dokumenttiin.
• avaimet luovutetaan vain itsenäisen pääsyoikeuden alueelle saaneelle henkilölle.
• henkilöstössä tapahtuvat muutokset välittyvät tarvittaessa avainten hallintaoikeuteen.

Organisaation on tarkastettava kaikki elektroniset laitteet, ennen kuin niitä käytetään sellaisella alueella, jossa käsitellään turvallisuusluokan II tietoja, mikäli tietoihin kohdistuva uhka arvioidaan korkeaksi.

Myös alue on tarkastettava fyysisesti tai teknisesti säännöllisin väliajoin sekä mahdollisen luvattoman sisäänpääsyn tai sen epäilyn johdosta.

Turvallisuusluokan I asiakirjaa saa säilyttää ainoastaan turva-alueella.

Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa.

Organisaatio säilyttää sähköisessä muodossa olevat tiedot turva-alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä.

Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot turva-alueella soveltuvaksi arvioidussa säilytysratkaisussa.

Organisaatio säilyttää sähköisessä muodossa olevat tiedot

• turva-alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä tai
• turva-alueiden ulkopuolella vaatimukset täyttävässä päätelaitteessa valvotussa tilassa tai soveltuvassa lukitussa toimistokalusteessa turvapussissa tai vastaavalla tavalla.

Kansainvälisen turvallisuusluoka III (Confidental) tietoa ei voi säilyttää hallinnollisella alueella.

Turvallisuusluokan II tai III asiakirjoja sisältävät tietovarannot ja näiden asiakirjojen käsittelyyn käytetyt tietojärjestelmät on sijoitettava turva-alueelle.

Turvallisuusluokan IV asiakirjoja sisältävät tietovarannot ja näiden asiakirjojen käsittelyyn käytetyt tietojärjestelmät on sijoitettava turvallisuusalueelle (hallinnollinen alue tai turva-alue).

Organisaatio säilyttää paperiasiakirjat ja muut ei sähköisessä muodossa olevat tiedot

• turva-alueella tai hallinnollisella alueella soveltuvaksi arvioidussa toimistokalusteessa tai
• tilapäisesti turvallisuusalueiden ulkopuolella jos tiedon käsittelijä on sitoutunut noudattamaan annetuissa turvallisuusohjeissa määrättyjä korvaavia toimenpiteitä.

Organisaatio säilyttää sähköisessä muodossa olevat tiedot

• turva-alueella tai hallinnollisella alueella vaatimukset täyttävässä laitteessa tai sähköisessä tietovälineessä tai
• turvallisuusalueiden ulkopuolella vaatimukset täyttävässä päätelaitteessa tai sähköisessä tietovälineessä valvotussa tilassa tai soveltuvassa lukitussa toimistokalusteessa turvapussissa tai vastaavalla tavalla.

Mikäli alueella ei ole tiedon säilytykseen riittäväksi arvioitua säilytysratkaisua, tulisi alueen seinien, lattian, katon, ikkunoiden ja ovien täytettävä vähintään standardin SFS-EN-1627 luokkaa RC3 vastaava suoja.

Mikäli turvallisuusluokitellun tiedon säilytysyksikkönä käytetään lukittua toimistokalustetta, on varmistuttava siitä, että tunkeutumisesta jää murtojälki.

Kainsainvälistä turvallisuusluokiteltua tietoa säilyttäessä ja käsiteltäessä alueella itsenäinen pääsyoikeus voidaan myöntää vain organisaation asianmukaisesti valtuuttamalle henkilölle. Valtuutetulla henkilöllä tulee olla voimassaoleva kansainvälinen henkilöturvallisuusselvitys (PSC) ja erityinen lupa aluellle tiedonsaantitarpeiden perusteella (need-to-know).

Blocking refers to the protection of information both from people who do not have a need-to-know for the information being discussed and from illegal intelligence activities.

The soundproofing requirement applies only to those premises in the area where classified information is discussed. The sound insulation can be evaluated, for example, by listening to the conversation outside the premises near the doors, walls, air conditioning pipes and other openings. If necessary, the sound insulation of the space can also be compared to the airborne sound insulation requirement for structures.

If necessary, the sound insulation requirement can be achieved, for example, by repositioning the space, improving the insulation of structures and penetrations, or background noise from spaces outside the evaluated space.

Turvallisuusluokitellun tiedon käsittelyssä tulisi ottaa huomioon:

TL IV:

• Pääsy tietoon suojattu sivullisilta
• Käsittely tapahtuu toimivaltaisen viranomaisen hyväksymällä turva-alueilla
• TL IV tietoja sisältävät tietovarannot ja käsittelyyn käytettävät järjestelmät on sijoitettava viranomaisen hyväksymälle turva-alueelle

Jos organisaatio käsittelee kansainvälistä turvallisuusluokiteltua tietoa, on sen määriteltävä vastaava kirjaamo. Kirjaamo tulee määrittää turva-alueeksi.

Kansallisten TL-luokkien II-III ja kansainvälisen TL-luokan III (Confidental) tai korkeamman tiedon vastaanottaminen ja lähettäminen täytyy kirjata.

TL- III ja sitä korkeamman tason tietojen käsittely tulee kirjata sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään tms.

Kansainvälisen TL-luokan III (Confidental) ja sitä korkeamman tason tiedot tulee kirjata sille tarkoitetussa kirjaamossa.

The area and the doors leading to it can be equipped with an intrusion detection system (alarm system), if security-classified information is stored in lockable office furniture in the area and the risk of burglary is assessed as probable.

The intrusion detection system can be used as a complementary risk management method of multi-level protection or, for example, to make the space "supervised".