Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja
No items found.

Käytettyjen siirrettävien tietovälinetyyppien määrittely

Critical
High
Normal
Low

Siirrettäviä tietovälineitä ovat mm. flash-muistit, SD-muistit, siirrettävät tallennusasemat, USB-tikut ja DVD-levyt.

Organisaatio on määritelly, minkä siirrettävien tietovälineiden käyttö on sallittua.

Prosessi luottamuksellista tietoa sisältävien siirrettävien tietovälineiden turvalliseen hävittämiseen

Critical
High
Normal
Low

Tarpeettomat tietovälineet olisi hävitettävä turvallisella, toimialalla yleisesti hyväksytyllä, tavalla (esimerkiksi polttamalla, silppuamalla tai pyyhkimällä) muodollisten menettelyjen mukaisesti. Turvallista hävittämistä edellyttävät tietovälineet on merkitty selkeästi.

Prosessin mukaisesti hävitettyjen tietojen ei tule olla palautettavissa edes rikosteknisin keinoin.

Lukitut kaapit / huonekalut siirrettävien tietovälineiden säilyttämiseen

Critical
High
Normal
Low

Siirrettäviä tietovälineitä on säilytettävä kassakaapissa, muussa lukollisessa kaapissa tai muussa turvallisessa huonekalussa. Niitä ei saa olla lojumassa ympäri toimistoa.

Sähköisessä muodossa olevien tietojen tuhoaminen (TL I)

Critical
High
Normal
Low

Turvallisuusluokan I sähköisessä muodossa olevan tiedon tuhoamisessa voidaan hyödyntää "VM 2021:5 Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä" koottuja turvallisuusluokan II silppukokoja, mikäli suojausta täydennetään viranomaisen hyväksymillä menettelyillä. Tällaisia menettelyihin sisältyvät tyypillisesti muun muassa silpun jatkokäsittely valvotusti polttamalla tai sulattamalla.

Sähköisessä muodossa olevien tietojen tuhoamisen suorittaja (TL II)

Critical
High
Normal
Low

Tiedon tuhoamisen saa suorittaa vain henkilö, jonka viranomainen on tähän tehtävään määrännyt. Valmisteluvaiheen versiot voi tuhota ne laatinut henkilö.

Sähköisessä muodossa olevien tietojen tuhoaminen (TL IV)

Critical
High
Normal
Low

Tuhoaminen ylikirjoittamalla

Tuhottaessa turvallisuusluokiteltua materiaalia ylikirjoittamalla, suositellaan noudatettavaksi Kyberturvallisuuskeskuksen ohjeen "Kiintolevyjen elinkaaren hallinta" mukaisia vaatimuksia ylikirjoitukselle sekä muistivälineiden uusiokäytölle.

Tuhoaminen silppuamalla

Tuhottaessa turvallisuusluokiteltua materiaalia silppuamalla, noudatetaan suosituksen "VM 2021:5 Suositus turvallisuusluokiteltavien asiakirjojen käsittelystä" mukaisia vaatimuksia kyseisen turvallisuusluokan aineiston silppukoolle.

Tietojen fyysisen kuljettamisen turvallisuusvaatimukset (TL II)

Critical
High
Normal
Low

Turvallisuusluokan II tietoa kuljetettaessa tarvittava tietoturvataso voidaan saavuttaa toteuttamalla aiempien turvallisuusluokkien toimien lisäksi seuraavat toimenpiteet:

  • Tieto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan.
  • Pakkauksen ulkokuoressa ei saa olla merkintää turvallisuusluokasta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän turvallisuusluokiteltua tietoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä).
  • Sisäkuoren on oltava sinetöity.
  • Vastaanottaja on ohjeistettava tarkistamaan sinetöinnin eheys ja ilmoitettava välittömästi, mikäli eheyden vaarantumista epäillään

Tietojen fyysisen kuljettamisen turvallisuusvaatimukset (TL III)

Critical
High
Normal
Low

Turvallisuusluokan II-III salaamaton tieto on kuljettamista varten pakattava asianmukaisesti sekä kuljetettava se jatkuvan valvonnan alaisuudessa vastaanottajalle. Mainitun tiedon saa kuljettaa vastaanottajalle myös muulla turvallisella tavalla, jolla tiedon luottamuksellisuus ja eheys varmistetaan kyseiselle turvallisuusluokalle riittävällä tavalla.

Turvallisuusluokan III tietoa kuljetettaessa tarvittava tietoturvataso voidaan saavuttaa toteuttamalla aiempien turvallisuusluokkien toimien lisäksi seuraavat toimenpiteet:

  • Tieto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää turvallisuusluokasta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän turvallisuusluokiteltua tietoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä).
  • Tieto toimitetaan ko. turvallisuusluokiteltuun tietoon oikeutetun organisaation henkilön toimesta jatkuvan valvonnan alaisuudessa vastaanottajalle. Vaihtoehtoisesti toimitus ko. turvallisuusluokalle hyväksytyn menettelyn mukaisesti.
  • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä.

Tietojen fyysisen kuljettamisen turvallisuusvaatimukset (TL IV)

Critical
High
Normal
Low

Turvallisuusluokan IV tietoa kuljetettaessa tarvittava tietoturvataso voidaan saavuttaa toteuttamalla seuraavat toimenpiteet:

  • Tieto pakataan suljettavaan kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää turvallisuusluokasta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän turvallisuusluokiteltua tietoa (kirjekuoren tai vastaavan on oltava läpinäkymätön).
  • Tieto toimitetaan kotimaassa tavallisena postina, kirjattuna kirjeenä tai ko. turvallisuusluokalle hyväksytyn menettelyn mukaisesti. Ulkomaille toimitus postin välityksellä vain viranomaisen erillishyväksyntään pohjautuen.
  • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä henkilöstöä.
  • Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietojen (esimerkiksi salausavaimet) välittämiseksi.

Prosessi ja ohjeistukset henkilöstölle salassapidettävän sähköisen tiedon turvallisesta tuhoamisesta

Critical
High
Normal
Low

Organisaation on huomioitava henkilöstön salassapidettävien tietojen turvallisen tuhoamisen prosesseissa. Organisaation tulee järjestää henkilöstölle yksikäsitteinen tapa tietojen tuhoamiseen ja ohjeistaa relevanttia henkilöstöä tämän tavan käyttämisessä.

Turvallisuusluokiteltujen tietojen siirtämisen kirjaaminen

Critical
High
Normal
Low

Turvallisuusluokan III tai sitä korkeamman luokan tiedon vastaanottaminen ja lähettäminen tulee kirjata.

Turvallisuusluokan III tietojen ja niitä korkeamman tason tietojen käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, asiarekisteriin tai tietoon (esimerkiksi dokumentin osaksi).

Tietojen fyysisen kuljettamisen turvallisuusvaatimukset

Critical
High
Normal
Low
  • Tiedot tulee kuljettaa tietojen riittävän suojaamisen huomioivia, organisaation ohjeita noudattaen.
  • Tiedot on pakattava niin, että ne on suojattu luvattomalta ilmitulolta.
  • Tietoja saa kuljettaa turvallisuusalueiden ulkopuolelle suojaamalla sähköiset tietovälineet riittävän turvallisella salauksella.
  • Salaamattomia tietoja voidaan kuljettaa postipalvelujen välityksellä.

Salaamattomien kannettavien tallennuslaitteiden kieltäminen

Critical
High
Normal
Low

Kannettavia tallennuslaitteita voivat olla esimerkiksi optiset levyt, DVD-/Bluray-levyt, flash-kortit, USB-tikut, SSD-levyt ja muut ulkoiset kiintolevyt.

Kannettavia tallennuslaitteita ja fyysisiä tietovälineitä, jotka eivät salli tietojen salausta, ei tule käyttää, ellei se ole väistämätöntä.

Kaikki salaamattomien tallennusvälineiden ja laitteiden käyttö tulee dokumentoida selvästi.

Kansainvälisen turvallisuusluokitellun sähköisen tiedon tuhoaminen

Critical
High
Normal
Low

TL III

  • Kansainvälisten turvallisuusluokan III (CONFIDENTIAL) tietojen osalta, kirjaajan on allekirjoitettava tuhoamistodistus, joka tallennetaan kirjaamoon/rekisteröintipisteeseen. Kirjaustiedot on päivitettävä vastaavasti. Kirjaamon/rekisteröintipisteen on säilytettävä tuhoamistodistukset vähintään viiden vuoden ajan.

TL II

  • Kansainvälisten turvallisuusluokan II (SECRET) tietojen tuhoaminen on suoritettava todistajan läsnä ollessa. Todistajalla on oltava vähintään tuhottavan tiedon turvallisuusluokkaa vastaava turvallisuusselvitys.


Siirrettävien tietovälineiden tarkemmat hallintasäännöt

Critical
High
Normal
Low

Siirrettävien tietovälineiden ollessa tärkeässä osassa organisaation toiminnassa, ollaan määritelty tarkempia sääntöjä siirrettävien tietovälineiden ja niiden sisältämän tiedon turvaamiselle.

  • siirrettäessä uudelleen käytettävä tietoväline organisaation ulkopuolelle, sen sisällön palauttaminen tehdään mahdottomaksi, jos sisältöä ei enää tarvita
  • tietovälineiden siirtämiseen organisaatiosta on hankittava lupa ja kaikista siirroista pideätän kirjaa
  • siirrettäviä tietovälineitä suojataan salauksella, kun tiedon luottamuksellisuus ja eheys on tärkeää
  • edelleen tarvittava tieto siirretään säännöllisesti eteenpäin käyttämättömään tietovälineeseen, jottei tietoväline rappeudu ja tieto muutu lukukelvottomaksi tietovälineen ennen tätä
  • arvokkaasta tiedosta varastoidaan useampia kopioita eri tietovälineille yhtäaikaisen tiedon vahingoittumisen tai katoamisen riskin pienentämiseksi

Tiedon ja tietovälineiden fyysisen kuljettamisen turvaaminen

Critical
High
Normal
Low

Kun tietoja lähetetään esim. posti-, lähetti- tai kuljetuspalvelujen kautta, paperidokumentit tai tietovälineet voivat kuljettamisen aikana altistua luvattomalle käytölle, väärinkäytölle tai vääristymiselle.

Kuljetusten turvaamiseksi organisaatio on määritellyt toimintatavat:

  • luotettavien kuljetuspalvelujen valintaan ja dokumentointiin
  • kuljetushenkilöstön henkilöllisyyden tarkistamiseen
  • turvallisen pakkaamisen varmistamiseen
  • toteutettujen kuljetusten dokumentointiin