Organisaatio on määritellyt eritasoiset tietojen fyysiseksi suojaamiseksi tarvittavat alueet (hallinnollinen alue, turva-alue ja tekninen turva-alue), joissa käsitellään salassa pidettäviä tietoja. Vastuuhenkilö varmistaa, että alueilla noudatetaan suojaustason mukaisia suojauskäytäntöjä.
Alueella voidaan tarkoittaa mm. huonetta, laitetilaa, varastoa, arkistotilaa, niiden muodostamaa kokonaisuutta tai muuta rakennuksen osaa. Rakennuksissa sekä toimitiloissa voi olla useita eri turvallisuusvyöhykkeisiin kuuluvia alueita.
Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason IV-II tietoja voidaan käsitellä myös hallinnollisella alueella, jos sivullisten pääsy tietoihin on estetty. Suojaustason IV tietoja voidaan säilyttää hallinnollisella alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.
Tehtävään liittyvät Digiturvamallin ominaisuudet
Näytä vaatimustenmukaisuus raporttikirjaston avulla
Digiturvamalli sisältää raporttikirjaston, josta löytyvät omat raporttipohjat jokaiselle vaatimuskehikolle.
Olipa kuulijana oma johto, viranomainen, auditoija tai asiakas, saat tarvittavan raportin muodostettua yhdellä klikkauksella.
Lue lisää raportoinnistaVastuuta tehtävät ja kuvaa oma toteutus
Tehtävälistat sisältävät digiturvan ydinasiat. Päätä, mitkä tehtävät teillä hoidetaan ja kuka vastaa. Näet vaaditut tehtävät suoraan valitun vaatimuskehikon perusteella, ja voit halutessasi täydentää listaa omilla.
Lue lisää tietoturvatehtävistäJakele ohjeet automaattisesti ja valvo lukemista
Kohdista ohjeet kaikilla tai vain relevanteille yksiköille. Saat ehdotuksia suoraan valitun vaatimuskehikon perusteella ja voit lisätä omat ohjeenne.
Työntekijöille ohjeet jaellaan Teams-botin kautta. Botti ei myöskään anna lukemisen unohtua.
Lue lisää tietoturvaohjeistaDokumentoi esimerkkien ja älykkäiden pohjien avulla
Digiturvamalli sisältää älykkäät mallipohjat mm. järjestelmien, henkilötietojen ja riskien dokumentointiin. Et turhaan kirjoita tai piirrä, vaan klikkailet linkittäen tietoja, jolloin automaattinen raportointi mahdollistuu.
Lue lisää dokumentoinnistaTehtävään liittyvät vaatimukset eri vaatimuskehikoista
Saman teeman muita tehtäviä
Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.
Teknisen turva-alueen suojauskäytännöt
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.
Teknisillä turva-alueilla noudatetaan turva-alueiden suojauskäytäntöjä sekä seuraavia lisäkäytäntöjä:
- Alueella on murtohälytysjärjestelmä.
- Alue pidetään lukittuna silloin, kun se ei ole käytössä, ja vartioituna silloin, kun se on käytössä.
- Avaimia valvotaan.
- Alueelle tulevia henkilöitä ja aineistoja valvotaan.
- Alue tarkastetaan säännöllisesti mahdollisten luvattomien tietoliikenneyhteyksien ja viestintävälineiden sekä muiden elektronisten laitteiden löytämiseksi.
- Alueella ei ole luvattomia tietoliikenneyhteyksiä tai laitteita
Turva-alueen suojauskäytännöt
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.
Turva-alueilla noudatetaan seuraavia suojauskäytäntöjä:
- Alueella on selkeästi määritellyt ja suojatut rajat, joilla valvotaan kaikkea kulkua sisään ja ulos kulkuluvin tai henkilökohtaisesti tunnistamalla.
- Alueelle on pääsy ilman saattajaa vain henkilöillä, joilla on asianmukainen turvallisuusselvitys ja erityinen lupa tulla alueelle tiedonsaantitarpeensa perusteella. Kaikilla muilla henkilöillä on aina oltava saattaja tai heille on tehtävä vastaavat tarkastukset.
- Aluetta rajaavat rakenteet muodostavat kokonaisuuden, joka tarjoaa riskeihin nähden riittävän suojan asiattoman pääsyn estämiseksi.
- Mikäli alueella säilytetään salassa pidettäviä tietoja, tulee siellä olla kyseisen tiedon säilyttämiseen hyväksytty tila tai säilytysratkaisu.
- Mikäli alueelle ei ole asennettu murtohälytysjärjestelmää ja alueella ei ole henkilöstöä palveluksessa ympäri vuorokauden, se on tarvittaessa tarkistettava normaalin työajan päätteeksi ja satunnaisin ajankohdin sen ulkopuolella.
Jos alueelle tulo merkitsee käytännössä välitöntä pääsyä sillä oleviin salassa pidettäviin tietoihin, sovelletaan lisäksi seuraavia vaatimuksia:
- On varmistettu, että alueella tavanomaisesti säilytettyjen tietojen korkein suojaustaso tai turvallisuusluokka on tiedon käsittelijän tiedossa.
- Kaikilla vierailijoilla on oltava erityinen lupa tulla alueelle. Heillä on aina oltava saattaja ja asianmukainen turvallisuusselvitys, paitsi jos on tehty toimia, joilla varmistetaan, ettei henkilöllä ole pääsyä sellaisiin tietoihin, joihin tällä ei ole oikeutta.
Alueelle on laadittu turvallisuusmenettelyt, joissa on määräykset seuraavista:
- Korkein suojaustaso- tai turvallisuusluokka, jota alueella voidaan käsitellä.
- Sovellettavat valvonta- ja suojatoimenpiteet.
- Henkilöt, joilla on pääsy alueelle ilman saattajaa tiedonsaantitarpeensa ja turvallisuusselvityksensä perusteella.
- Henkilön saattamiseen liittyvät menettelyt.
- Muut asiaan kuuluvat toimenpiteet ja menettelyt.
Hallinnollisen alueen suojauskäytännöt
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Suojaustason IV-II tietoja voidaan käsitellä hallinnollisella alueella, jos sivullisten pääsy tietoihin on estetty. Suojaustason IV tietoja voidaan säilyttää hallinnollisella alueella.
Hallinnollisilla alueilla noudatetaan seuraavia suojauskäytäntöjä:
- Alueella on selkeästi määritellyt näkyvät rajat, joilla henkilöt ja mahdollisuuksien mukaan ajoneuvot voidaan tarkastaa.
- Alueelle on pääsy ilman saattajaa vain henkilöillä, joilla on lupa tulla alueelle. Kaikilla muilla henkilöillä on aina oltava saattaja tai heille on tehtävä vastaavat tarkastukset.
- Mikäli alueella säilytetään salassa pidettäviä tietoja, alueella on kyseisen tiedon säilyttämiseen hyväksytty tila tai säilytysratkaisu.
- Mikäli alueella käsitellään salassa pidettäviä tietoja, sivullisten pääsy tietoihin on estetty.
Avainten hallintajärjestelmä
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Avainten hallintajärjestelmällä on vastuuhenkilö ja menettelytavat avainten hallintaan on ohjeistettu ja dokumentoitu.
Järjestelmän menettelyt voivat olla mm.:
- Vastuuhenkilöllä on luettelo jaetuista ja hallussaan olevista avaimista
- Avaimen luovutusperuste kirjataan dokumenttiin
- Avaimet voidaan luovuttaa vain kulkuoikeuden omaavalle henkilölle
- Henkilöstössä tapahtuvat muutokset välittyvät tarvittaessa avainten hallintaoikeuteen
- Avainten hallintaoikeus katselmoidaan säännöllisesti
Avaustunnisteiden hallintakäytännöt
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Avaustunnisteet annetaan mahdollisimman harvoille henkilöille ja henkilöt osaavat numeroyhdistelmät ulkoa.
Numeroyhdistelmien vaihtamiskäytännöt
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Organisaatio on määritellyt toimintatavat numeroyhdistelmien vaihtamiseksi, joilla pyritään hallitsemaan riskiä numeroyhdistelmien väärinkäytöstä.
Numeroyhdistelmät vaihdetaan mm.:
- uuden turvallisen säilytyspaikan vastaanoton yhteydessä
- aina kun avaustunnisteen tunteva henkilö vaihtaa tehtäviä tai poistuu organisaation palveluksesta
- aina kun tiedot ovat vaarantuneet tai kun niiden epäillään vaarantuneen
- kun jokin lukoista on huollettu tai korjattu ja vähintään 12 kuukauden välein
Turvallisuusjärjestelmien sekä -laitteiden turvallisuus ja testaus
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Tietojen fyysiseen suojaamiseen tarkoitetut turvallisuusjärjestelmät ja laitteet ovat hyväksyttyjen teknisten standardien tai vähimmäisvaatimusten mukaisia. Järjestelmiä ja laitteita testataan säännöllisesti ja ne pidetään käyttökuntoisina.
Turvallisuusjärjestelmiä ja -laitteita voivat olla mm.:
- turvakaapit
- kassakaapit
- kulunvalvontajärjestelmät
- murtohälytyshälytysjärjestelmät
- valvontajärjestelmät
- lukot
- ovet ja aukot
- paperisilppurit
Monitasoisen suojauksen periaate
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Organisaatio suunnittelee fyysiset turvatoimet monitasoisen suojaamisen periaatetta noudattaen. Monitasoisella suojaamisella tarkoitetaan sitä, että toteutetaan joukko toisiaan täydentäviä turvatoimia.
Esimerkiksi rakennuksen ulkoseinät ja kuori voivat muodostaa ensimmäisen turvallisuustason. Kulunvalvonta muodostaa seuraavan kerroksen ja korkeamman suojaustason tietoa käsitellään ainoastaan rakennuksen sisemmissä osissa, jotta tunkeutuminen tiloihin on estetty. Turvallisuustekniset ratkaisut (säilytysyksiköt, hälytysjärjestelmät, kameravalvonta, valaistus, jne.) täydentävät rakenteellisia ratkaisuja. Suunnittelussa otetaan huomioon ikkunat, ovet ja muut aukot.
Ilmoitusprosessi fyysisten tunnisteiden häviämisen varalle
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Henkilöstöllä on toimintaohjeet ja työkalut, joiden avulla he voivat ilmoittaa kadonneesta fyysisestä tunnisteesta (esim. avaimenperä, älykortti, älytarra).
Fyysisen pääsyn valvonta rakennuksiin, toimistoihin ja muihin toimipaikkoihin
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.
Sähköistä liikkumislokia tuottavien avainten tai muiden tunnisteiden käyttö
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Toimitiloissa ei voi liikkua ilman tunnisteita, jotka tallentavat henkilön liikkeet sähköiseen lokikirjaan.
Vahva tunnistus erittäin luottamuksellisen tiedon käsittely- tai varastointialueille
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Pääsy alueille, joissa käsitellään tai varastoidaan luottamuksellista tietoa, olisi rajoitettava vain valtuutettuihin yksilöihin toteuttamalla asianmukainen pääsynhallinta, esim. käyttämällä kaksivaiheista todentamismekanismia, kuten kulkukorttia ja tunnuslukua.
Vierailijaohjeet ja -loki
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Vierailijat pääsevät turva-alueille ainoastaan luvan kanssa, asiallisesti tunnistettuina ja heidän pääsyoikeutensa on rajattu ainoastaan tarvittaviin tiloihin. Kaikki vierailut kirjataan vierailijalokiin. Lisäksi henkilöstöä on ohjeistettu turvalliseen toimintaan vierailuihin liittyen.
Näkyvien tunnisteiden käyttö
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Organisaation toimitiloissa ei voi liikkua ilman näkyvää tunnistetta.
Tukipalvelujen työntekijöiden rajattu pääsy tiloihin ja sen tarkkailu
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Ulkopuolisten tukipalvelujen työntekijöille, kuten huoltotyötä tai siivousta toteuttaville henkiköille, myönnetään pääsyoikeudet vain niille välttämättömille turva-alueille ja luottamuksellisiin tietojenkäsittelypalveluihin, joihin heillä on tarve. Ulkopuolisten tukipalvelujen työntekijöiden pääsyoikeuksia tarkastellaan säännöllisesti.
Salakatselun estäminen
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Tiedon esiintymismuodosta riippumatta henkilötietoja tai muuta salassa pidettävää tietoa käsitellään niin, ettei tieto näy asiattomille.
Salakuuntelun estäminen
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Henkilötiedoista tai muista salassa pidettävistä tiedoista käytävä keskustelu ei saa välittyä viereisiin tiloihin tiloihin niille, joilla ei ole tietoon oikeutta.
Kameravalvonta kiinteistöissä
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Turvallisuushenkilöstö käyttää kameravalvontaa luvattoman pääsyn, sabotaasin tai muiten hälytysten todentamiseksi organisaation toimitiloissa.
Vartiointipalvelut kiinteistöissä
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Organisaation toimitiloja sekä laitteiden käyttöympäristöjä suojataan aktiivisesti vartioinnilla.
Luvattomaan tunkeutumiseen vastaamisen harjoittelu
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Organisaation toteutettava harjoituksia, joissa harjoitellaan vastaamista luvattomaan tunkeutumiseen. Tämä koskee sisään- ja ulostunkeutumista.
Pääsynhallinta turva-alueille
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Organisaatio saa sallia vain hyväksytyn henkilöstön päästä turvatuille alueille. Kaikkien sisäänmeno- ja ulostulopisteiden on oltava valvottuja ja dokumentoituja fyysisten pääsynhallintajärjestelmien toimesta. Dokumentaatio kuka ja milloin on kulkenut turvatulle alueelle on säilytettävä, niin pitäksi aikaa, kun organisaatio tuntee tarpeelliseksi.
Ohjeistukset toimintaan luottamuksellisen tiedon käsittelyalueilla
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Organisaatio on määritellyt luottamuksellisen tiedon käsittelyalueet sekä toimintasäännöt, joita noudatetaan kaikessa luottamuksellisen tiedon käsittelyalueilla tapahtuvassa toiminnassa.
Toimintasäännöissä tulisi harkita seuraavien seikkojen huomiointia:
- säännöistä ja liittyvistä alueista tiedotetaan ainoastaan henkilöstöä, jolle tieto on relevanttia
- valvomaton työ alueilla minimoidaan
- alueet ovat fyysisesti lukittuja ja ne tarkastetaan säännöllisesti
- valtuuttamattomien tallennuslaitteiden (mm. puhelimet, videokamerat) kieltäminen
- päätelaitteiden kuljettamisen valvominen
- hätätilanneohjeiden julkaiseminen helposti saatavilla olevalla tavalla
Fyysisen pääsyn jatkuva valvonta kriittisiin tiloihin
Dokumentoi
Ohjeista
Luo menettely
Vastuuta toteutus
Näytä lisätiedot
.png)
Pääsyä kriittisiä järjestelmiä sisältäviin rakennuksiin tulee valvoa jatkuvasti luvattoman pääsyn tai epäilyttävän toiminnan havaitsemiseksi. Valvontakäytännöissä tulisi huomioida seuraavat asiat:
- tunkeutumishälytyksen aiheuttavat kosketus-, ääni- tai liiketunnistimet
- ulko-ovien ja ikkunoiden peitto tunnistimia käyttämällä
- henkilöstöttömien sekä muuten tärkeiden (mm. palvelin- tai viestintäteknologia) tilojen valvonta
- hälytysjärjestelmien säännöllinen testaus
Valvontajärjestelmiin liittyvien tietojen tulee olla luottamuksellisia, koska tietojen paljastaminen voi helpottaa havaitsemattomia murtoja. Valvontajärjestelmät itsessään tulee myös suojata asiallisesti, jottei tallenteisiin tai järjestelmän tilaan pääse vaikuttamaan luvatta.