Seuraava webinaari
"
Demo: Riskienhallinnan toteuttaminen ja vinkit Digiturvamallissa
"
alkaa
00
pv
pv
00
h
h
00
min
päästä  
Katakri

Fyysinen turvallisuus

Vaatimuskategoriaan liittyvät vaatimukset

No items found.

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Teknisen turva-alueen suojauskäytännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.

Teknisillä turva-alueilla noudatetaan turva-alueiden suojauskäytäntöjä sekä seuraavia lisäkäytäntöjä:

  • Alueella on murtohälytysjärjestelmä.
  • Alue pidetään lukittuna silloin, kun se ei ole käytössä, ja vartioituna silloin, kun se on käytössä.
  • Avaimia valvotaan.
  • Alueelle tulevia henkilöitä ja aineistoja valvotaan.
  • Alue tarkastetaan säännöllisesti mahdollisten luvattomien tietoliikenneyhteyksien ja viestintävälineiden sekä muiden elektronisten laitteiden löytämiseksi.
  • Alueella ei ole luvattomia tietoliikenneyhteyksiä tai laitteita

Turva-alueen suojauskäytännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.

Turva-alueilla noudatetaan seuraavia suojauskäytäntöjä:

  • Alueella on selkeästi määritellyt ja suojatut rajat, joilla valvotaan kaikkea kulkua sisään ja ulos kulkuluvin tai henkilökohtaisesti tunnistamalla.
  • Alueelle on pääsy ilman saattajaa vain henkilöillä, joilla on asianmukainen turvallisuusselvitys ja erityinen lupa tulla alueelle tiedonsaantitarpeensa perusteella. Kaikilla muilla henkilöillä on aina oltava saattaja tai heille on tehtävä vastaavat tarkastukset.
  • Aluetta rajaavat rakenteet muodostavat kokonaisuuden, joka tarjoaa riskeihin nähden riittävän suojan asiattoman pääsyn estämiseksi.
  • Mikäli alueella säilytetään salassa pidettäviä tietoja, tulee siellä olla kyseisen tiedon säilyttämiseen hyväksytty tila tai säilytysratkaisu.
  • Mikäli alueelle ei ole asennettu murtohälytysjärjestelmää ja alueella ei ole henkilöstöä palveluksessa ympäri vuorokauden, se on tarvittaessa tarkistettava normaalin työajan päätteeksi ja satunnaisin ajankohdin sen ulkopuolella.

Jos alueelle tulo merkitsee käytännössä välitöntä pääsyä sillä oleviin salassa pidettäviin tietoihin, sovelletaan lisäksi seuraavia vaatimuksia:

  • On varmistettu, että alueella tavanomaisesti säilytettyjen tietojen korkein suojaustaso tai turvallisuusluokka on tiedon käsittelijän tiedossa.
  • Kaikilla vierailijoilla on oltava erityinen lupa tulla alueelle. Heillä on aina oltava saattaja ja asianmukainen turvallisuusselvitys, paitsi jos on tehty toimia, joilla varmistetaan, ettei henkilöllä ole pääsyä sellaisiin tietoihin, joihin tällä ei ole oikeutta.

Alueelle on laadittu turvallisuusmenettelyt, joissa on määräykset seuraavista:

  • Korkein suojaustaso- tai turvallisuusluokka, jota alueella voidaan käsitellä.
  • Sovellettavat valvonta- ja suojatoimenpiteet.
  • Henkilöt, joilla on pääsy alueelle ilman saattajaa tiedonsaantitarpeensa ja turvallisuusselvityksensä perusteella.
  • Henkilön saattamiseen liittyvät menettelyt.
  • Muut asiaan kuuluvat toimenpiteet ja menettelyt.

Hallinnollisen alueen suojauskäytännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Suojaustason IV-II tietoja voidaan käsitellä hallinnollisella alueella, jos sivullisten pääsy tietoihin on estetty. Suojaustason IV tietoja voidaan säilyttää hallinnollisella alueella.

Hallinnollisilla alueilla noudatetaan seuraavia suojauskäytäntöjä:

  • Alueella on selkeästi määritellyt näkyvät rajat, joilla henkilöt ja mahdollisuuksien mukaan ajoneuvot voidaan tarkastaa.
  • Alueelle on pääsy ilman saattajaa vain henkilöillä, joilla on lupa tulla alueelle. Kaikilla muilla henkilöillä on aina oltava saattaja tai heille on tehtävä vastaavat tarkastukset.
  • Mikäli alueella säilytetään salassa pidettäviä tietoja, alueella on kyseisen tiedon säilyttämiseen hyväksytty tila tai säilytysratkaisu.
  • Mikäli alueella käsitellään salassa pidettäviä tietoja, sivullisten pääsy tietoihin on estetty.

Salassapidettävien tietojen käsittelyyn tarkoitettujen alueiden määrittely ja suojauksen varmistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio on määritellyt eritasoiset tietojen fyysiseksi suojaamiseksi tarvittavat alueet (hallinnollinen alue, turva-alue ja tekninen turva-alue), joissa käsitellään salassa pidettäviä tietoja. Vastuuhenkilö varmistaa, että alueilla noudatetaan suojaustason mukaisia suojauskäytäntöjä.

Alueella voidaan tarkoittaa mm. huonetta, laitetilaa, varastoa, arkistotilaa, niiden muodostamaa kokonaisuutta tai muuta rakennuksen osaa. Rakennuksissa sekä toimitiloissa voi olla useita eri turvallisuusvyöhykkeisiin kuuluvia alueita.

Suojaustason IV-II tietoja voidaan käsitellä turva-alueella. Suojaustason IV-II tietoja voidaan käsitellä myös hallinnollisella alueella, jos sivullisten pääsy tietoihin on estetty. Suojaustason IV tietoja voidaan säilyttää hallinnollisella alueella. Suojaustason III-II tason tietoja tulee säilyttää turva-alueella.

Avainten hallintajärjestelmä

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Avainten hallintajärjestelmällä on vastuuhenkilö ja menettelytavat avainten hallintaan on ohjeistettu ja dokumentoitu.

Järjestelmän menettelyt voivat olla mm.:

  • Vastuuhenkilöllä on luettelo jaetuista ja hallussaan olevista avaimista
  • Avaimen luovutusperuste kirjataan dokumenttiin
  • Avaimet voidaan luovuttaa vain kulkuoikeuden omaavalle henkilölle
  • Henkilöstössä tapahtuvat muutokset välittyvät tarvittaessa avainten hallintaoikeuteen
  • Avainten hallintaoikeus katselmoidaan säännöllisesti

Avaustunnisteiden hallintakäytännöt

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Avaustunnisteet annetaan mahdollisimman harvoille henkilöille ja henkilöt osaavat numeroyhdistelmät ulkoa.

Turvallisuusjärjestelmien sekä -laitteiden turvallisuus ja testaus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tietojen fyysiseen suojaamiseen tarkoitetut turvallisuusjärjestelmät ja laitteet ovat hyväksyttyjen teknisten standardien tai vähimmäisvaatimusten mukaisia. Järjestelmiä ja laitteita testataan säännöllisesti ja ne pidetään käyttökuntoisina.

Turvallisuusjärjestelmiä ja -laitteita voivat olla mm.:

  • turvakaapit
  • kassakaapit
  • kulunvalvontajärjestelmät
  • murtohälytyshälytysjärjestelmät
  • valvontajärjestelmät
  • lukot
  • ovet ja aukot
  • paperisilppurit

Monitasoisen suojauksen periaate

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaatio suunnittelee fyysiset turvatoimet monitasoisen suojaamisen periaatetta noudattaen. Monitasoisella suojaamisella tarkoitetaan sitä, että toteutetaan joukko toisiaan täydentäviä turvatoimia.

Esimerkiksi rakennuksen ulkoseinät ja kuori voivat muodostaa ensimmäisen turvallisuustason. Kulunvalvonta muodostaa seuraavan kerroksen ja korkeamman suojaustason tietoa käsitellään ainoastaan rakennuksen sisemmissä osissa, jotta tunkeutuminen tiloihin on estetty. Turvallisuustekniset ratkaisut (säilytysyksiköt, hälytysjärjestelmät, kameravalvonta, valaistus, jne.) täydentävät rakenteellisia ratkaisuja. Suunnittelussa otetaan huomioon ikkunat, ovet ja muut aukot.

Ylijännitesuojien ja keskeytymättömien virtalähteiden (UPS) käyttö

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ylijännitesuojat estävät virtatason nousujen ja laskujen vahingoittamasta laitteita. Keskeytymättömät virtalähteet (UPS) puolestaan takaavat rajallisen ajan akkuvirtaa, jonka avulla voidaan työskennellä lyhyiden sähkökatkostenkin aikana. Kriittiset laitteet pidetään kiinni UPS:ssä.

Laitteiston turvallinen ja harkittu sijoittaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Esimerkiksi tietojenkäsittelyyn käytettävät, sekä muut tärkeät laitteistot, olisi asetettava tiloihin turvallisesti ja harkitusti. Sijoittelun avulla tulee rajoittaa luvatonta pääsyä laitteille.

Hälytysjärjestelmät laitteiston ympäristöolosuhteille

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Hälytysjärjestelmien avulla tarkkaillaan tärkeimpien ympäristöolosuhteiden (esim. lämpötila ja kosteus) tasoa, jotka voivat vaikuttaa haitallisesti tietojenkäsittelylaitteistojen toimintaan.

Laitteiston asiallisen huollon varmistaminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Laitteistoja olisi huollettava toimittajan suosittelemin aikavälein sekä toimittajan antamia määrittelyjä noudattaen.

Peruspalvelujen testaus, vikasietoisuuden arviointi ja varmistus

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Peruspalvelujen (kuten sähkön, tietoliikenteen, vedenjakelun, viemäröinnin, lämmityksen, tuuletuksen ja ilmastoinnin) toimintaa seurataan, jotta voidaan varmistaa, että niiden kapasiteetti kattavan liiketoiminnan kasvun.

Fyysisen pääsyn valvonta rakennuksiin, toimistoihin ja muihin toimipaikkoihin

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Organisaation turva-alueille ei pääse huomaamatta, vaan tilat on suojattu asianmukaisella kulunvalvonnalla. Vain luvan saaneet henkilöt pääsevät turva-alueille.

Vierailijaohjeet ja -loki

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Vierailijat pääsevät turva-alueille ainoastaan luvan kanssa, asiallisesti tunnistettuina ja heidän pääsyoikeutensa on rajattu ainoastaan tarvittaviin tiloihin. Kaikki vierailut kirjataan vierailijalokiin. Lisäksi henkilöstöä on ohjeistettu turvalliseen toimintaan vierailuihin liittyen.

Tukipalvelujen työntekijöiden rajattu pääsy tiloihin ja sen tarkkailu

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Ulkopuolisten tukipalvelujen työntekijöille, kuten huoltotyötä tai siivousta toteuttaville henkiköille, myönnetään pääsyoikeudet vain niille välttämättömille turva-alueille ja luottamuksellisiin tietojenkäsittelypalveluihin, joihin heillä on tarve. Ulkopuolisten tukipalvelujen työntekijöiden pääsyoikeuksia tarkastellaan säännöllisesti.

Salakatselun estäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tiedon esiintymismuodosta riippumatta henkilötietoja tai muuta salassa pidettävää tietoa käsitellään niin, ettei tieto näy asiattomille.

Salakuuntelun estäminen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Henkilötiedoista tai muista salassa pidettävistä tiedoista käytävä keskustelu ei saa välittyä viereisiin tiloihin tiloihin niille, joilla ei ole tietoon oikeutta.

KatakriFyysinen turvallisuus

Fyysinen turvallisuus

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.