Seuraava webinaari
"
Demo: Riskienhallinnan toteuttaminen ja vinkit Digiturvamallissa
"
alkaa
00
pv
pv
00
h
h
00
min
päästä  
Katakri

Tietoaineistoturvallisuus

Teema-alueen vaatimukset

Teeman tehtävien osa-alueet

No items found.
Katakri5: Tekninen tietoturvallisuus5Tekninen tietoturvallisuus

Tietoaineistoturvallisuus

Vaatimuskategoriaan liittyvät vaatimukset

Esimerkkejä vaatimuksiin liittyvistä tehtävistä

Klikkaa itsesi yksittäisen vaatimuksen näkymään nähdäksesi kaikki kohtaan liittyvät sisällöt.

Ohjeistukset paperitietojen turvalliseen hävittämiseen liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Sensitiivistä tietoa sisältävät paperit olisi tuhottava sovitusti, esimerkiksi käyttäen katkaisusilppuria tai polttamalla.

Ohjeistukset kopiointilaitteiden käyttöön liittyen

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kaikkien kopiointilaitteiden (esim. kopiokoneet, skannerit, digitaaliset kamerat) käyttöä varten on olemassa ohjeet ja niiden luvaton käyttö on kiellettyä.

Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen (ST II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason II tietoja hävitettäessä:

  • Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
  • Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti
  • Sekä kirjaaja että todistaja, jos jälkimmäisen läsnäoloa vaaditaan, allekirjoitettavat hävittämistodistuksen, joka tallennetaan kirjaamoon
  • Todistus säilytytään vähintään 5 vuotta
  • Aineiston hävittäminen suoritetaan todistajan läsnä ollessa, jolla on vähintään hävitettävän aineiston turvallisuusluokkaa vastaava turvallisuusselvitys

Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen (ST III)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason III tietoja hävitettäessä:

  • Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
  • Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti
  • Sekä kirjaaja että todistaja, jos jälkimmäisen läsnäoloa vaaditaan, allekirjoitettavat hävittämistodistuksen, joka tallennetaan kirjaamoon
  • Todistus säilytytään vähintään 5 vuotta

Salassa pidettävää tietoa sisältävien tietoaineistojen hävittäminen (ST IV)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun hävitetään esimerkiksi paperiaineistoja, magneettisia kiintolevyjä, SSD-kiintolevyjä, USB-muisteja tai optisia medioita, hävittäminen on tärkeää suorittaa suunnitelluin menetelmin, jotta tietoja ei myöhemmin voida palauttaa edes osittain.

Tietojen turvalliseen hävittämiseen voidaan käyttää esimerkiksi tarpeeksi tarkkaa silppuamista sekä sitä tukevana suojauksena myös muita menetelmiä, joilla tietojen kokoaminen estetään luotettavasti (esimerkiksi silpun polttaminen tai kiintolevyn sulattaminen).

Suojaustason IV tietoja hävitettäessä:

  • Organisaatio on määritellyt käytettävät silppukoot ja tarvittavat muut tukevat menetelmät eri aineistojen hävittämiseen
  • Salassa pidettävää tietoa sisältävät tietojärjestelmien väliaikaistiedostot poistuvat joko automaattisesti tai ne poistetaan säännöllisesti

Loki manuaalisten salassa pidettävien aineistojen käsittelystä (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kirjaamisella tarkoitetaan aineiston elinkaaren (luonti, käyttö, jakelu, hävittäminen) rekisteröimistä. Usein tietojärjestelmät hoitavat lokikirjaukset sisäisillä prosesseilla, mutta manuaalista tietoa käsiteltäessä voidaan tarvita erillisia kirjauskäytäntöjä ja kirjaamoja.

Turvallisuustarkoituksia varten suojaustasojen III-II tiedoille on määritelty seuraavat menettelyt:

  • Tietojenkäsittely-ympäristössä toteutetaan hallinnolliset ja tekniset toimenpiteet, jotka koskevat salassa pidettävien tietojen valvomista koko niiden elinkaaren ajan, jotta autetaan estämään ja havaitsemaan tällaisten tietojen tahallinen tai tahaton vaarantuminen tai katoaminen.
  • Salassa pidettävää tietoa käsitteleville organisaatioyksiköille on määritelty kirjaamo/rekisteröintipiste. Kirjaamot/rekisteröintipisteet on perustettu fyysisille ko. suojaustason vaatimukset täyttäville turva-alueille.
  • Salassa pidettävä tieto kirjataan/rekisteröidään sille tarkoitetuissa kirjaamoissa/rekisteröintipisteissä, kun aineisto saapuu organisaatioyksikköön tai lähtee siitä.
  • Asiakirjojen käsittely kirjataan sähköiseen lokiin, tietojärjestelmään, asianhallintajärjestelmään, manuaaliseen diaariin tai asiakirjaan.

Suojaustasolla IV edellytetään ensimmäisen kohdan toteuttamista silloin, kun käsitellään suojaustasoon IV kuuluvia erityisiä henkilötietoryhmiä (esim. biometriset tiedot).

Salassa pidettävien tietojen jäljentäminen - Tulostus ja kopiointi (ST II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tulostimet ja kopiokoneet tulkitaan tietojärjestelmiksi ja niiden tulisi siten täyttää ko. suojaustason vaatimukset sekä teknisen, fyysisen että hallinnollisen tietoturvallisuuden osalta.

Tulosteiden ja kopioiden suojaamiseksi toteutetaan seuraavat toimenpiteet:

  • Kopioita käsitellään kuten alkuperäistä asiakirjaa.
  • Kopion voi luovuttaa edelleen vain henkilölle, jolla on käsittelyoikeus aineistoon ja tarve tietosisältöön.
  • Kopion/tulosteen saa ottaa vain ko. suojaustason vaatimukset täyttävällä laitteella.
  • Kopiointi merkitään diaariin/rekisteriin tai luetteloidaan jollakin muulla vastaavalla menettelyllä.

Salassa pidettävien tietojen jäljentäminen - Tulostus ja kopiointi (ST IV-III)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Tulostimet ja kopiokoneet tulkitaan tietojärjestelmiksi ja niiden tulisi siten täyttää ko. suojaustason vaatimukset sekä teknisen, fyysisen että hallinnollisen tietoturvallisuuden osalta.

Tulosteiden ja kopioiden suojaamiseksi toteutetaan seuraavat toimenpiteet:

  • Kopioita käsitellään kuten alkuperäistä asiakirjaa.
  • Kopion voi luovuttaa edelleen vain henkilölle, jolla on käsittelyoikeus aineistoon ja tarve tietosisältöön.
  • Kopion/tulosteen saa ottaa vain ko. suojaustason vaatimukset täyttävällä laitteella.

Aineiston välitys postilla tai kuriirilla (ST II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

  • salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
  • muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolla II toteutetaan alla mainitut toimenpiteet:

  • Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi.
  • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä.
  • Aineisto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä). Sisäkuoren on oltava sinetöity. Vastaanottaja on ohjeistettava tarkistamaan sinetöinnin eheys ja ilmoitettava välittömästi, mikäli eheyden vaarantumista epäillään.
  • Aineisto toimitetaan kotimaassa ja ulkomaille viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti.

Aineiston välitys postilla tai kuriirilla (ST III)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

  • salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
  • muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolla III toteutetaan alla mainitut toimenpiteet:

  • Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi.
  • Aineisto pakataan suljettavaan kaksinkertaiseen kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuorien tai vastaavien on oltava läpinäkymättömiä).
  • Aineisto toimitetaan kotimaassa viranomaisen erillishyväksyntään pohjautuen kirjattuna kirjeenä tai viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti. Ulkomaille toimitus postin välityksellä voi tapahtua vain viranomaisen erillishyväksyntään pohjautuen.
  • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä turvallisuusselvitettyä henkilöstöä.

Aineiston välitys postilla tai kuriirilla (ST IV)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Kun salassa pidettäviä tietoja siirretään fyysisesti suojattujen alueiden ulkopuolella, pyritään tiedot ensisijaisesti siirtämään tietoverkon yli sähköisesti viranomaisen hyväksymillä salaustuotteilla suojattuina.

Jos edellä mainittua menettelyä ei käytetä:

  • salassa pidettävät tiedot kuljetetaan joko viranomaisen hyväksymillä salaustuotteilla suojatuilla sähköisillä välineillä (kuten USB-muistitikut, CD-levyt, kiintolevyt) tai
  • muissa tapauksissa viranomaisen ohjeita noudattaen

Lisäksi suojaustasolle IV toteutetaan alla mainitut toimenpiteet:

  • Aineisto pakataan suljettavaan kirjekuoreen tai vastaavaan. Pakkauksen ulkokuoressa ei saa olla merkintää suojaustasosta eikä pakkaus saa ulkoisesti muuten paljastaa sen sisältävän salassa pidettävää aineistoa (kirjekuoren tai vastaavan on oltava läpinäkymätön).
  • Aineisto toimitetaan kotimaassa tavallisena postina, kirjattuna kirjeenä tai viranomaisen ko. suojaustasolle hyväksymän kuriirimenettelyn mukaisesti. Ulkomaille toimitus postin välityksellä vain viranomaisen erillishyväksyntään pohjautuen.
  • Organisaation sisäiseen postin käsittelyketjuun kuuluu vain hyväksyttyä henkilöstöä.
  • Organisaatiossa on tunnistettu vaatimukset ja toteutettu menettelyt erityissuojattavien tietoaineistojen (esimerkiksi salausavaimet) välittämiseksi

Aineiston sähköinen välitys (ST IV-II)

Dokumentoi

Ohjeista

Luo menettely

Vastuuta toteutus

Aineiston sähköinen välitys kattaa esimerkiksi puhelimen, faksin, sähköpostin, pikaviestimet ja muut vastaavat tietoverkon kautta toimivat tiedonsiirtomenetelmät.

Sähköisen tietojen välittämisen turvaamiseksi organisaatio toteuttaa seuraavat toimenpiteet:

  • Kun salassa pidettävää aineistoa siirretään hyväksyttyjen fyysisesti suojattujen alueiden ulkopuolella, aineisto / liikenne salataan viranomaisen ko. suojaustasolle hyväksymällä menetelmällä
  • Tilanteissa, joissa salassa pidettävää aineistoa siirretään fyysisesti suojattujen alueiden sisäpuolella
  • a) ko. suojaustason liikennekanava on fyysisesti suojattu (esimerkiksi kaapelointi, joka kulkee kokonaisuudessaan suppean, esimerkiksi vain yhden huoneen kattavan ko. suojaustason fyysisesti suojatun alueen sisällä), tai
  • b) aineisto suojataan viranomaisen erillishyväksyntään perustuen matalamman tason salauksella (esim. HTTPS)

Tietoaineistoturvallisuus

Tämän vaatimuksen toteuttamiseen liittyvät tehtävät

Alla näet tehtäviä, joiden avulla Digiturvamallissa tämän vaatimuksen toteutusta vastuutetaan ja jalkautetaan. Klikkaa itsesi tehtävän sivulle lukeaksesi toteutuksesta tarkemmin.

Oletko valmis aloittamaan?

Aloita kokeilu tai varaa demo.