Vierailijat pääsevät turva-alueille ainoastaan luvan kanssa, asiallisesti tunnistettuina ja heidän pääsyoikeutensa on rajattu ainoastaan tarvittaviin tiloihin. Kaikki vierailut kirjataan vierailijalokiin. Lisäksi henkilöstöä on ohjeistettu turvalliseen toimintaan vierailuihin liittyen.
Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.
Henkilöstöllä on toimintaohjeet ja työkalut, joiden avulla he voivat ilmoittaa kadonneesta fyysisestä tunnisteesta (esim. avaimenperä, älykortti, älytarra).
Fyysisen turvallisuuden menettelyt on kehitetty ja otettu käyttöön, ja henkilökunta on koulutettu niihin. Menettelyjä tarkistetaan säännöllisesti sen varmistamiseksi, että ohjeet ja ohjeistukset ovat ajan tasalla ja riittävän kattavat.
Organisaation on määriteltävä tarvittava suojaustaso kullekin hallinnoimalleen verkkoyhteydelle. Nämä toimenpiteet on dokumentoitava. Ainakin seuraavat olisi määriteltävä:
Organisaation on varmistettava, että yhteydet on suojattu fyysisesti niiden kriittisyyden ja vaatimusten mukaisesti.
Pääsyä organisaation tiloihin ja teknisille alueille on valvottava ja rajoitettava valtuutettuihin henkilöihin. Pääsyluettelo on päivitettävä säännöllisesti, ja siinä on otettava huomioon henkilöstömuutokset. Pääsyä voidaan valvoa sisäänpääsynvalvonnalla, kuten esimerkiksi:
Organisaation on tarkistettava säännöllisesti fyysiset käyttöoikeudet arkaluonteisiin tiloihin, tietokeskuksiin ja tieto- ja viestintätekniikka- tai tietovarantoja sisältäviin alueisiin. Tähän sisältyy:
The organisation should implement physical security measures designed to delay and hinder unauthorized physical intrusion into its facilities. This includes robust building construction, secure doors, windows, locks, and other physical barriers. Electronic monitoring systems should be deployed to detect attempts at physical intrusion, sabotage, burglary, or theft.
Physical security measures need to be regularly inspected and tested to ensure they are implemented, intact, and functioning as intended.
Organisaation tulee ottaa huomioon ympäristöuhat ja -vaarat ja suojauduttava niiltä tilojen tärkeyden mukaisilla valvontatoimilla.
Organisaation on määriteltävä ja täytettävä vaatimukset, jotka koskevat tukevan tieto-omaisuuden hallintaa, jotta voidaan varmistaa niiden asianmukainen käsittely koko niiden elinkaaren ajan.
Tukevan tieto-omaisuuden käsittelyä koskevat menettelyt, joihin voi sisältyä esimerkiksi seuraavia näkökohtia:
Nämä menettelyt olisi määriteltävä selkeästi, jotta voidaan varmistaa, että kaikkea tukevaa omaisuutta hallinnoidaan tavalla, joka säilyttää sen eheyden ja turvallisuuden.
Fyysisten turvatoimien yksi tavoite on estää luvaton pääsy turvallisuusluokiteltuun tietoon. Tämä toteutetaan:
Compromising emanations may enable unintentional electromagnetic information leaks. The organization has identified and assessed the risks related to compromising emanations. Security measures or compensating procedures are scaled to the risks, the classification level of the information, and the acceptable level of residual risk.
TEMPEST countermeasures must be proportionate to the risk of exploitation and to the classification level of the information. When processing classification level III or II information electronically, it must be ensured that the risks related to electronic intelligence have been sufficiently reduced.
Security measures have been implemented to prevent information leaks through compromising emanations, scaled to the risks and the classification level of the information. The adequacy of these measures can be verified by a zone measurement or a measurement of the protected space.
In protecting classification level I information, risks differing from those of classification level II information must be considered and reflected in the implemented security measures. Compromising emanations and the principles of protection against them are described in more detail in the guidance on protection against compromising emanations issued by the National Cyber Security Centre.
Pääsyä kriittisiä järjestelmiä sisältäviin rakennuksiin tulee valvoa jatkuvasti luvattoman pääsyn tai epäilyttävän toiminnan havaitsemiseksi. Valvontakäytännöissä tulisi huomioida seuraavat asiat:
Valvontajärjestelmiin liittyvien tietojen tulee olla luottamuksellisia, koska tietojen paljastaminen voi helpottaa havaitsemattomia murtoja. Valvontajärjestelmät itsessään tulee myös suojata asiallisesti, jottei tallenteisiin tai järjestelmän tilaan pääse vaikuttamaan luvatta.
Organisaatio on määritellyt luottamuksellisen tiedon käsittelyalueet sekä toimintasäännöt, joita noudatetaan kaikessa luottamuksellisen tiedon käsittelyalueilla tapahtuvassa toiminnassa.
Toimintasäännöissä tulisi harkita seuraavien seikkojen huomiointia:
Organisaation on sallittava ainoastaan ennalta hyväksytyn henkilöstön pääsy turva-alueille.
Kaikkien sisään- ja ulosmenopisteiden on oltava oletuksellisesti estettyjä, dokumentoituja sekä valvottuja pääsynhallintajärjestelmien toimesta.
Kaikesta kulusta turva-alueille on kerryttävä lokia ja organisaation on määriteltävä, kuinka pitkään lokeja säilytetään.
Organisaation on käytettävä pääsynvalvonnan tekniikoita datakeskuksen ulkokehällä. Pääsynvalvonta voi koostua mm. hälytysjärjestelmistä, valvontalaitteista (mm. liiketunnistimet, kamerat) sekä valvontaa suorittavasta henkilöstöstä.
Pääsynvalvonnan on ulotuttava kaikille sisääntulo- ja poistumispisteille luvattoman sisääntulon ja poistumisen havaitsemiseksi.
Organisaation on toteutettava säännöllisesti harjoituksia, joissa testataan luvattoman tunkeutumisen havaitsemista sekä toimintatapoja luvattomaan tunkeutumiseen vastaamiseksi.
Organisaation toimitiloja sekä laitteiden käyttöympäristöjä suojataan aktiivisesti vartioinnilla.
Henkilötiedoista tai muista salassa pidettävistä tiedoista käytävä keskustelu ei saa välittyä viereisiin tiloihin tiloihin niille, joilla ei ole tietoon oikeutta.
Tiedon esiintymismuodosta riippumatta henkilötietoja tai muuta salassa pidettävää tietoa käsitellään niin, ettei tieto näy asiattomille.
Organisaation toimitiloissa ei voi liikkua ilman näkyvää tunnistetta.
Pääsy alueille, joissa käsitellään tai varastoidaan luottamuksellista tietoa, olisi rajoitettava vain valtuutettuihin yksilöihin toteuttamalla asianmukainen pääsynhallinta, esim. käyttämällä kaksivaiheista todentamismekanismia, kuten kulkukorttia ja tunnuslukua.
Toimitiloissa ei voi liikkua ilman tunnisteita, jotka tallentavat henkilön liikkeet sähköiseen lokikirjaan.
Organisaatio suunnittelee fyysiset turvatoimet monitasoisen suojaamisen periaatetta noudattaen. Monitasoisella suojaamisella tarkoitetaan sitä, että toteutetaan joukko toisiaan täydentäviä turvatoimia.
Esimerkiksi rakennuksen ulkoseinät ja kuori voivat muodostaa ensimmäisen turvallisuustason. Kulunvalvonta muodostaa seuraavan kerroksen ja korkeamman suojaustason tietoa käsitellään ainoastaan rakennuksen sisemmissä osissa, jotta tunkeutuminen tiloihin on estetty. Turvallisuustekniset ratkaisut (säilytysyksiköt, hälytysjärjestelmät, kameravalvonta, valaistus, jne.) täydentävät rakenteellisia ratkaisuja. Suunnittelussa otetaan huomioon ikkunat, ovet ja muut aukot.
Tietojen fyysiseen suojaamiseen tarkoitetut turvallisuusjärjestelmät ja laitteet ovat hyväksyttyjen teknisten standardien tai vähimmäisvaatimusten mukaisia. Järjestelmiä ja laitteita testataan säännöllisesti ja ne pidetään käyttökuntoisina.
Turvallisuusjärjestelmiä ja -laitteita voivat olla mm.:
Organisaatio on määritellyt toimintatavat numeroyhdistelmien vaihtamiseksi, joilla pyritään hallitsemaan riskiä numeroyhdistelmien väärinkäytöstä.
Numeroyhdistelmät vaihdetaan mm.:
Avaustunnisteet annetaan mahdollisimman harvoille henkilöille ja henkilöt osaavat numeroyhdistelmät ulkoa.
Avainten hallintajärjestelmällä on vastuuhenkilö ja menettelytavat avainten hallintaan on ohjeistettu ja dokumentoitu.
Järjestelmän menettelyt voivat olla mm.:
Organisaatio on määritellyt eritasoiset tietojen fyysiseksi suojaamiseksi tarvittavat alueet (hallinnollinen alue, turva-alue ja tekninen turva-alue), joissa käsitellään salassa pidettäviä tietoja. Vastuuhenkilö varmistaa, että alueilla noudatetaan suojaustason mukaisia suojauskäytäntöjä.
Alueella voidaan tarkoittaa mm. huonetta, laitetilaa, varastoa, arkistotilaa, niiden muodostamaa kokonaisuutta tai muuta rakennuksen osaa. Rakennuksissa sekä toimitiloissa voi olla useita eri turvallisuusvyöhykkeisiin kuuluvia alueita.
Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason IV-II tietoja voidaan käsitellä myös hallinnollisella alueella, jos sivullisten pääsy tietoihin on estetty. Suojaustason IV tietoja voidaan säilyttää hallinnollisella alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.
Suojaustason IV-II tietoja voidaan käsitellä hallinnollisella alueella, jos sivullisten pääsy tietoihin on estetty. Suojaustason IV tietoja voidaan säilyttää hallinnollisella alueella.
Hallinnollisilla alueilla noudatetaan seuraavia suojauskäytäntöjä:
Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.
Turva-alueilla noudatetaan seuraavia suojauskäytäntöjä:
Jos alueelle tulo merkitsee käytännössä välitöntä pääsyä sillä oleviin salassa pidettäviin tietoihin, sovelletaan lisäksi seuraavia vaatimuksia:
Alueelle on laadittu turvallisuusmenettelyt, joissa on määräykset seuraavista:
Information of classification levels IV–II may be processed in a security area. Information of classification levels III–II must be stored in a security area.
Technical security areas follow the general protection practices for security areas, as well as the following additional practices:
The Finnish Security Intelligence Service or the Defence Command decides on the threat assessment, risk management measures, and possible approval of temporary security arrangements for a technically protected security area.
Turvallisuushenkilöstö käyttää kameravalvontaa luvattoman pääsyn, sabotaasin tai muiten hälytysten todentamiseksi organisaation toimitiloissa.
Ulkopuolisten tukipalvelujen työntekijöille, kuten huoltotyötä tai siivousta toteuttaville henkiköille, myönnetään pääsyoikeudet vain niille välttämättömille turva-alueille ja luottamuksellisiin tietojenkäsittelypalveluihin, joihin heillä on tarve. Ulkopuolisten tukipalvelujen työntekijöiden pääsyoikeuksia tarkastellaan säännöllisesti.
Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.