Siirrettäviä tietovälineitä ovat mm. flash-muistit, SD-muistit, siirrettävät tallennusasemat, USB-tikut ja DVD-levyt.

Organisaatio on määritelly, minkä siirrettävien tietovälineiden käyttö on sallittua.

Irrotettavia tallennusvälineitä tulisi käyttää vain, jos jäännösriski pysyy määritellyn riskinsietokyvyn rajoissa.

Organisaation on yksilöitävä tietoturvatoimenpiteet, joilla varmistetaan, että tietojen siirtoon ja tallentamiseen käytetään vain valtuutettuja tallennusvälineitä, järjestelmiä ja päätelaitteita.

CL III

• For international information of classification level III (CONFIDENTIAL), the registrar must sign a destruction certificate, which is stored in the registry/registration point; the registry data must be updated accordingly. The registry/registration point must retain destruction certificates for at least five years.

CL II

• For international information of classification level II (SECRET), destruction must be carried out in the presence of a witness. The witness must hold a personnel security clearance corresponding at least to the classification level of the information being destroyed.

Kannettavia tallennuslaitteita voivat olla esimerkiksi optiset levyt, DVD-/Bluray-levyt, flash-kortit, USB-tikut, SSD-levyt ja muut ulkoiset kiintolevyt.

Kannettavia tallennuslaitteita ja fyysisiä tietovälineitä, jotka eivät salli tietojen salausta, ei tule käyttää, ellei se ole väistämätöntä.

Kaikki salaamattomien tallennusvälineiden ja laitteiden käyttö tulee dokumentoida selvästi.

• Tiedot tulee kuljettaa tietojen riittävän suojaamisen huomioivia, organisaation ohjeita noudattaen.
• Tiedot on pakattava niin, että ne on suojattu luvattomalta ilmitulolta.
• Tietoja saa kuljettaa turvallisuusalueiden ulkopuolelle suojaamalla sähköiset tietovälineet riittävän turvallisella salauksella.
• Salaamattomia tietoja voidaan kuljettaa postipalvelujen välityksellä.

The receipt and dispatch of information of classification level III or higher must be recorded.

The processing of information of classification level III or higher must be recorded in an electronic log, information system, case management system, case register, or directly in the information itself (for example, as part of the document).

Organisaation on huomioitava henkilöstön salassapidettävien tietojen turvallisen tuhoamisen prosesseissa. Organisaation tulee järjestää henkilöstölle yksikäsitteinen tapa tietojen tuhoamiseen ja ohjeistaa relevanttia henkilöstöä tämän tavan käyttämisessä.

Turvallisuusluokan IV tietoa kuljetettaessa tarvittava tietoturvataso voidaan saavuttaa toteuttamalla seuraavat toimenpiteet:

• Tieto pakataan suljettavaan kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää turvallisuusluokasta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän turvallisuusluokiteltua tietoa (kirjekuoren tai vastaavan on oltava läpinäkymätön).
• Tieto toimitetaan kotimaassa tavallisena postina, kirjattuna kirjeenä tai ko. turvallisuusluokalle hyväksytyn menettelyn mukaisesti. Ulkomaille toimitus postin välityksellä vain viranomaisen erillishyväksyntään pohjautuen.
• Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä henkilöstöä.
• Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietojen (esimerkiksi salausavaimet) välittämiseksi.

Turvallisuusluokan II-III salaamaton tieto on kuljettamista varten pakattava asianmukaisesti sekä kuljetettava se jatkuvan valvonnan alaisuudessa vastaanottajalle. Mainitun tiedon saa kuljettaa vastaanottajalle myös muulla turvallisella tavalla, jolla tiedon luottamuksellisuus ja eheys varmistetaan kyseiselle turvallisuusluokalle riittävällä tavalla.

Turvallisuusluokan III tietoa kuljetettaessa tarvittava tietoturvataso voidaan saavuttaa toteuttamalla aiempien turvallisuusluokkien toimien lisäksi seuraavat toimenpiteet:

• Tieto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää turvallisuusluokasta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän turvallisuusluokiteltua tietoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä).
• Tieto toimitetaan ko. turvallisuusluokiteltuun tietoon oikeutetun organisaation henkilön toimesta jatkuvan valvonnan alaisuudessa vastaanottajalle. Vaihtoehtoisesti toimitus ko. turvallisuusluokalle hyväksytyn menettelyn mukaisesti.
• Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä.

Turvallisuusluokan II tietoa kuljetettaessa tarvittava tietoturvataso voidaan saavuttaa toteuttamalla aiempien turvallisuusluokkien toimien lisäksi seuraavat toimenpiteet:

• Tieto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan.
• Pakkauksen ulkokuoressa ei saa olla merkintää turvallisuusluokasta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän turvallisuusluokiteltua tietoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä).
• Sisäkuoren on oltava sinetöity.
• Vastaanottaja on ohjeistettava tarkistamaan sinetöinnin eheys ja ilmoitettava välittömästi, mikäli eheyden vaarantumista epäillään

Destruction by overwriting:

When destroying classified material by overwriting, it is recommended to follow the requirements for overwriting and reuse of storage media set out in the National Cyber Security Centre’s guidance Management of the lifecycle of hard drives.

Destruction by shredding:

When destroying classified material by shredding, the requirements for shred sizes for the relevant classification level, as set out in VM 2021:5 Recommendation on the handling of classified documents, must be followed.

The destruction of information may only be carried out by a person appointed to this task by the authority. Draft versions may be destroyed by the person who created them.

In the destruction of classification level I electronic information, the shred sizes compiled for classification level II in VM 2021:5 recommendation on the handling of classified documents may be applied, provided that the protection is supplemented with procedures approved by the authority. Such procedures typically include the supervised further processing of the shredded material by burning or melting.

Siirrettäviä tietovälineitä on säilytettävä kassakaapissa, muussa lukollisessa kaapissa tai muussa turvallisessa huonekalussa. Niitä ei saa olla lojumassa ympäri toimistoa.

Tarpeettomat tietovälineet olisi hävitettävä turvallisella, toimialalla yleisesti hyväksytyllä, tavalla (esimerkiksi polttamalla, silppuamalla tai pyyhkimällä) muodollisten menettelyjen mukaisesti. Turvallista hävittämistä edellyttävät tietovälineet on merkitty selkeästi.

Prosessin mukaisesti hävitettyjen tietojen ei tule olla palautettavissa edes rikosteknisin keinoin.

Kun tietoja lähetetään esim. posti-, lähetti- tai kuljetuspalvelujen kautta, paperidokumentit tai tietovälineet voivat kuljettamisen aikana altistua luvattomalle käytölle, väärinkäytölle tai vääristymiselle.

Kuljetusten turvaamiseksi organisaatio on määritellyt toimintatavat:

• luotettavien kuljetuspalvelujen valintaan ja dokumentointiin
• kuljetushenkilöstön henkilöllisyyden tarkistamiseen
• turvallisen pakkaamisen varmistamiseen
• toteutettujen kuljetusten dokumentointiin

Siirrettävien tietovälineiden ollessa tärkeässä osassa organisaation toiminnassa, ollaan määritelty tarkempia sääntöjä siirrettävien tietovälineiden ja niiden sisältämän tiedon turvaamiselle.

• siirrettäessä uudelleen käytettävä tietoväline organisaation ulkopuolelle, sen sisällön palauttaminen tehdään mahdottomaksi, jos sisältöä ei enää tarvita
• tietovälineiden siirtämiseen organisaatiosta on hankittava lupa ja kaikista siirroista pideätän kirjaa
• siirrettäviä tietovälineitä suojataan salauksella, kun tiedon luottamuksellisuus ja eheys on tärkeää
• edelleen tarvittava tieto siirretään säännöllisesti eteenpäin käyttämättömään tietovälineeseen, jottei tietoväline rappeudu ja tieto muutu lukukelvottomaksi tietovälineen ennen tätä
• arvokkaasta tiedosta varastoidaan useampia kopioita eri tietovälineille yhtäaikaisen tiedon vahingoittumisen tai katoamisen riskin pienentämiseksi