4 Henkilöstoturvallisuuden järjestelyt virastossa

4.1 Henkilöstöturvallisuus tietoturvapolitiikassa

Työn edellyttämät tarpeet tiedon käsittelijöistä tulee kuvata tietoturvapolitii­kassa tai osapolitiikoissa. Viraston tulee ottaa huomioon viraston käyttämien tietojen omistajuus. Omistajan tulee vastaavasti ilmaista tahtonsa määrää­mällä tiedon turvaluokka asiaryhmittäin.

Viraston on määriteltävä kenellä tai millä ryhmillä ja millä periaatteilla

  • on oikeus saada tietoja haltuunsa ja käsitellä tietoja (pääsy tietoon)

  • saa käsitellä keskeisiä välineitä, kuten esimerkiksi salausavaimia, palomuureja, reitittimiä tai palvelimia (pääsy materiaaliin ja järjestelmiin)

  • on oikeus päästä järjestelmätiloihin (pääsy tilaan)

  • on valtuus ratkaista pääsyoikeus.

Virastojen on myös määriteltävä henkilöstönsä osaamisprofiilit sekä määriteltävä

  • kuka on avainhenkilö, jolla on oltava sijaisia

  • kuka voi olla sijainen

  • kuka on kykenevä toimimaan varahenkilönä

  • miten järjestelmän ylläpitäjiä valvotaan ja estetään tekemästä virheitä tai rikkomuksia.

 

4.2 Omistajuuden tunnistaminen

4.2.1 Tiedon pääluokat eli asiaryhmät

Yhtenäisen suojan vaatimuksesta on tiedoille annettava arvo, jonka perus­teella tiedon haltija suojaa sen alkuperää vastaavasti. Tiedoilla on siten oltava omistaja, joka määrittää tiedon suojausarvon.

Tietoa on suojattava yhtäläisesti riippumatta siitä, kenen hallussa tai missä muodossa tieto on.

Tiedon voi omistaa virasto tai laitos, yritys tai yhteisö, tai yksityinen hen­kilö (henkilötiedot). Periaate ei ole aivan selkeä, sillä virkamiehet luovat tietoa jatkuvasti lisää yhdistelemällä saamiaan tietoja toisiinsa ja siten luomalla uutta tietoa. Uudellakin tiedolla on valtionhallinnossa omistaja, joka määräytyy val­tioneuvostosta annetun lain (175/2003) ja valtioneuvoston ohjesäännön teh­tävävastuiden mukaisesti. Virastojen oikeudet ja vastuut on määritetty lailla. Julkisuuslain (621/99) § 24.1 salassapitomääräykset varsin selkeästi osoittavat, mikä on tai on voitava pitää salassa. Kullakin kohdalla (asiaryhmä) on selkeästi määritettävissä tehtävävastuiden mukaisesti omistaja, joka määrää tietojen tur­vallisuusluokituksesta.

Omistaja voi olla muukin taho kuin virasto. Yritykset ja yhteisöt antavat virastoille tietoja, jotka sopimuksen tai muun perusteen johdosta eivät ole viras­ton omaisuutta, virasto on ainoastaan tiedon haltija.

Henkilötiedot ovat erityisen selkeä esimerkki omistajuudesta, joka ei ole virastolla. Virasto voi olla siten tiedon omistaja säädöksissä esitettyjen vastui­den perusteella, tai tiedon haltija.

Omistaja päättää tietojensa luokituksesta ja siten niiden käsittelystä

Omistajan tulee antaa yleisohjeet tietojensa käsittelystä. Yleisohje sisältää tietoluokkien käsittelysäännöt ja luokitusohjeen, jota käytetään tukena uutta tietoa luokitellessa.

4.2.2 Suojattavan arvon määrittäminen ja luokittaminen

Tiedot, kuten myös muut suojattavat resurssit (´objektit´), on luokitettava. Luokitus on perusta suojausmekanismeille.

Tiedoilla ei ole samaa suojaustarvetta, vaan se vaihtelee tiedon arvon mukaan. Tiedoille tai tiedon pääryhmille (asiaryhmä) on määrättävä salassa­pitoluokka ja käytettävyysluokka.

Tiedon suojausluokka ilmaisee tiedon haltijalle ja käyttäjälle tiedon arvon ja sen, miten sitä on käsiteltävä. Erityisesti tiedon haltijaviraston on tunnettava omis­tajan tahto siitä, mitä henkilöstöturvallisuusmenettelyjä tiedon käsittely vaatii.

Tiedon arvo on voitava välittää haltijalle, jonka tulee tuntea rajoitukset tiedon luovuttamisesta omalle henkilöstölle ja muulle henkilöstölle. Tiedon hal­tija on velvollinen huolehtimaan tiedoista omistajan antamien yleisohjeiden mukaisesti. Tiedon haltijan on huomioitava tiedon edelleen luovuttamiselle ase­tetut rajoitukset ja annettava käsittelyohjeet tiedoille. Tiedon käsittely on usein muista lähteistä saadun tiedon kokoamisesta ja jalostamisesta, jolloin yhteys tiedon omistajaan on selkeä. Uutta tietoa tulee käsitellä lähdetietojen omista­juuden mukaisesti. Tiedon käyttäjän tehtäväksi jää käsittelyn asianmukaisuus omistajan ja haltijan yleisohjeiden perusteella. Tiedon käyttäjän on huomioi­tava tiedon edelleen luovuttamiselle asetetut rajoitukset.

 

4.3 Käsittelyprosessien turvaaminen

Tietojen käsittelyn suoritukset (transaction) muodostavat käsittelyketjuja. Käsittelyketjun turvaamiseksi on käytettävä turvaohjausmekanismeja, joilla ohjataan käsittelyketjujen turvallisuutta, ja valvotaan, että virheellisiä toimin­toja ei tehdä tai että ne havaitaan (ISO 17799 kohta 10.1.3).

Käsittelyketjut on suunniteltava turvallisiksi työprosessien suunnittelun yhteydessä.

Turvaohjausmekanismien käytöllä varmistetaan suoritteiden valtuutuk­sien aitous (authorization), valvotaan suoritteiden toteuttamisen perustumista hyväksyttyyn valtuuteen (access), varmistutaan suoritteiden kirjaamisesta (recording) ja siitä, että kirjanpidossa käsitellään ainoastaan todellisia suorit­teita tai resursseja (asset accountability).

Keskeisimmät turvaohjausmekanismit ovat:

  • Usean henkilön läsnäolo (dual control), jolla tarkoitetaan kahden tai useamman henkilön välttämätöntä läsnäoloa määrätyssä kriittisessä suorituksessa.

  • Jaettu valtuus (split knowledge ), jolla tarkoitetaan määrättyyn kriittiseen suoritukseen tarvittavan tiedon jakamista kahteen tai useampaan osaan ja osien luovuttamista kahdelle tai useam­malle henkilölle.

  • Käyttövaltuuksien eriyttäminen (segregation of duties), jolla tarkoitetaan käsittelyketjun kriittisten suoritteiden eriyttämistä usealle henkilölle, ns. vaarallisten työyhdistelmien estämistä.

  • Tietoaineiston lokerointi (compartmentalization), jolla tarkoite­taan tietoaineiston eriyttämistä riittävän pieniin kokonaisuuksiin ja niiden käyttöoikeuden antamista ainoastaan tietylle henkilö- ryhmälle tietoaineistokokonaisuuden suojaamiseksi.

  • Tietojen käsittelyn suoritteiden kirjaaminen ja kirjanpidon valvonta (cross & double checks).

Erityisen merkittävää turvaohjausmekanismien käyttö on poikkeus- ja hätä­tilanteissa, joissa ei voida toimia normaaliprosessien mukaisesti. Jos henkilö tarvitsee poikkeamatilanteissa välittömästi laajemmat valtuudet kuin normaa­litilanteessa, edellytetään tällöin kahden henkilön läsnäoloa (=usean henki­lön läsnäolo) ja valtuustieto on jaettu kolmannelle henkilölle (=jaettu valtuus),

joka itse ei voi tehdä toimenpidettä. Valtuuttaja myös muuttaa valtuustietoa toimenpiteen jälkeen. Lisäksi valtuuttaja raportoi valtuuden antamisesta nel­jännelle henkilölle (valvoja), joka kykenee seuraamaan järjestelmään tehtyjä muutoksia, muttei muuttamaan itse niitä (=tehtävien eriyttäminen).

4.3.1 Tehtävien eriyttäminen

Tehtävien eriyttäminen eli vaarallisten työyhdistelmien välttäminen on tär­kein ja useimmin käytettävissä oleva turvaohjausmekanismi. Sen tarkoituk­sena on ehkäistä virheiden ja väärinkäytösten mahdollisuutta. Yksikään hen­kilö ei voi olla turvatussa käsittelyketjussa vastuussa enempää kuin yhdestä käsittelyketjun kolmesta suorituksesta, esimerkiksi valtuuttamisesta, hallus­sapidosta tai kirjanpidosta. Tietojärjestelmissä oikeuksien saamisen proses­sissa on kolme eriytettyä toimijaa: oikeuden tarvitsija, oikeuden myöntäjä ja oikeuden järjestäjä.

PIIRROS 1. Tehtävien eriyttäminen prosessissa, joka sisältää väärinkäytön mahdollisuuden

4.3.2 Tiedon käsittelijät toimivat roolien kautta

Virkamiehellä on henkilöstöturvallisuuden kannalta useita rooleja, tehtävästä riippuen ne vaihtelevat perusroolista aina tiedon haltijaorganisaation päällik­kyyteen ja tiedon omistajuuteen. Henkilöstöturvallisuustyöllä on huolehdit­tava, etteivät erilaiset roolit aiheuta riskejä.

Henkilöllä voi olla useita rooleja, esimerkiksi oikeuksien myöntäjän rooli, mutta myös peruskäyttäjän rooli. Tällöin on todettava rooliristiriita ja järjes­tettävä niin, ettei hän voi hakea oikeutta ja myöntää sitä itselleen.

4.3.3 Avainhenkilöiden käytettävyys

Käytettävyysriskien selvittämiseksi on arvioitava, mikä on henkilön merkitys organisaatiossa ja sen toiminnassa.

  • Onko henkilön paikallaolo ja asema välttämätöntä keskeisten päätösten tekemisessä? (päättäjä)

  • Onko henkilön toiminta välttämätöntä keskeisen järjestelmän käytettävyydelle, tai onko hänen paikallaolonsa ja asemansa välttämätöntä kriittisten toimenpiteiden käynnistämisessä tai toteuttamisessa? (järjestelmän avainhenkilö)

  • Kohdistuuko henkilöön hänen työstään johtuen tavanomaista
    suurempi rikos- tai onnettomuusriski? (henkilöriskihenkilö)

Avainhenkiöiden tavoitettavuus on sovittava tehtävänkuvauksessa. Jos järjes­telmä, jossa henkilö on avainhenkilö, on aikakriittinen, on saavutettavuus varmistettava varallaololla tai henkilön tavoitettavuus hätätyön teettämistä varten on varmistettava muulla tavoin.

Saavutettavuuden kannalta on tärkeää varmistua henkilön sijainnista, jotta saapuminen aikakriittiseen toimeen olisi mahdollista. Henkilön teknisen val­vonnan toteuttaminen edellyttää asiasta sopimista sekä yhteistoimintamenet­telyä virastossa.

Avainhenkilöstön käytettävyyttä on seurattava suunnittelemalla lomat ja muut poissaolot virkapaikalta siten, että sijaisuusjärjestelyt ovat mahdollisia. Erityisesti on kiinnitettävä huomiota työpäivinä tapahtuviin virkamatkoihin, jolloin henkilö ei tosiasiassa ole käytettävissä kriittiseen työtehtävään.

4.3.4 Sijaisuudet

Henkilötietolain 32 § edellyttää, että tiedot turvataan tarvittavin ”organisa­torisin ja teknisin keinoin” ottaen huomioon tietojen laatu, määrä ja merkitys. Aikakriittiset palvelut (järjestelmäluokka 3), kuten oikea-aikaisesti tapahtuva palkanmaksu, edellyttävät jokapäiväisten sijaisuuksien järjestämistä. Sijaisuudet on määrättävä virastossa kirjallisesti ja ne tulee ilmetä tehtävänkuvauksissa.

Eräs keino sijaisuuksien järjestämiseen on hankkia ja kouluttaa virastoon moniosaajia, jotka pystyvät korvaamaan toisiaan. Moniosaajiin sisältyy kuiten­kin riskejä, joista keskeisin on vastuiden epäselvyydet usean henkilön hoitaessa tehtävää. Erityisesti on varottava vaarallisten työyhdistelmien syntymistä.

Henkilövuokrauksen yleistyminen on nostanut esille henkilövuokrausyri­tysten käyttämisen sijaisuuksien hoitamisessa. Henkilövuokraus on varteen­otettava mahdollisuus, mutta monimutkaisten järjestelmien ja palveluympäris­töjen hallitseminen ei ole mahdollista tilapäisin voimin. Henkilövuokraukseen sisältyy myös turvallisuusriskejä, jotka on arvioitava palvelujen käytössä.

4.3.5 Jatkuvuus ja varahenkilöstö

Toiminnan jatkuvuuden varmistamiseksi on ennakolta suunniteltava, miten virasto varmistaa avainosaamisen. Tämä edellyttää varahenkilöiden etukä­teen kouluttamista avaintehtäviin, ennen kuin avainhenkilö poistuu viras­tosta. Varahenkilöiden osaamista tulee harjoituttaa määräajoin. Jatkuvuuden varmistaminen pitkällä aikavälillä on suunniteltava ja määrätietoisesti toteu­tettava koulutusjärjestelmä, joka varmistaa toiminnan jatkuvuuden avainteh­tävien henkilöstön siirtyessä mahdollisesti toisten työnantajien palvelukseen.

 

4.4 Työtehtävästä johtuva tarve tietoon

4.4.1 Tiedon saannin rajaaminen ja lokerointi

Tiedon tulee olla sitä tarvitsevien käytettävissä. Hallinnollisesti on huolehdit­tava, että vain ne, joilla on tarve ja kyky käsitellä salassa pidettävää tietoa, saavat tiedon ja huolehtivat sen salassa pysymisestä (”tietoja saa vain työtehtävään”).

Kaikki tieto ei kuitenkaan ole tarkoitettu kaikkien tietoon. Salassapitovaa­timus ei voi olla täysin ehdoton, sillä jonkun on kuitenkin voitava käsitellä tie­toa (sic). Salassapito tarkoittaa siis tiedon salassapitoa ”yleiseltä joukolta, jolla ei ole tarvetta saada tietoa”. Salassapidon periaate on siten rajata tiedon käsit­telijöiden ja tiedon määrä vain työtehtävästä johtuvan tarpeen mukaan ja lokeroida oikeudet nimetylle henkilöryhmälle (”tietojen lokerointi luokittain ja henkilöryhmittäin”).

Julkisuuslaissa ja erityisesti sen 24 § määritellään, mikä tieto on tai voi olla salassa pidettävää.

4.4.2 Järjestelmien ylläpitohenkilöstö

Tietoa varastoidaan ja käsitellään tietojärjestelmissä. Järjestelmien luotetta­vuus ja niihin varastoidut tiedot on suojattu järjestelmien turvamekanismeilla. Turvamekanismeihin pätee edellä kuvattu sääntö rajata tietojärjestelmien yllä­pitäjien määrä mahdollisimman pieneen joukkoon. Tietojärjestelmien ylläpi­täjien vastuulla on toisaalta järjestelmän käytettävyys. Järjestelmät ja niistä muodostuva kokonaisuus on monimutkainen ja edellyttää erityisosaamista. Järjestelmille on asetettu korkea käytettävyysvaatimus. Näistä syistä on vält 

tämätöntä, että asiantuntijoilla ja päivystäjillä on sijaisia ja varahenkilöitä, jotka hallitsevat useita järjestelmiä. Ylläpitäjien ja heidän sijaistensa toimen­pidemahdollisuuksia on rajoitettava turvallisuusohjausmekanismeilla. Ylläpi­täjillä ei saa olla pääsyä käyttäjien tietosisältöihin.

4.4.3 Tehtävän turvallisuusluokitus

Henkilöstön tehtävät arvioidaan virastoissa ja tehtävälle määritetään palk­kausjärjestelmän mukaisesti sen vaativuus. Tehtävän vaativuudessa tulee ottaa huomioon salassapito- ja käytettävyystarpeet ja arvioitava henkilöiden sovel­tuvuutta työtehtävään.

Tehtävän vaativuudessa on arvioitava henkilön osaaminen ja merkitys järjestel­mien toiminnalle (avainhenkilö) sekä henkilön työtehtävissä tarvitsemien salassa pidettävien tietojen käsittelytarve. Salassapitotarve on eriteltävä sen mukaan, onko salassapidon perusteena valtion etu (turva- ja käsittelyluokitus), yritys tai yhteisö (muu salassapitosyy) , tai yksityinen henkilö (henkilötiedot) . Lisäksi voidaan arvioida kansainvälisten salassa pidettävien tietoaineistojen käsittelytarve.

Viraston tulee määrittää henkilöstönsä tehtävänkuvauksiin niiden edellyt­tämät turvallisuusvaatimukset (”tehtävän turvallisuusluokka”).

4.4.4 Tehtävän kuvaukset ja työjärjestykset

Palkkausjärjestelmässä kuvattujen tehtäväkuvausten tulee olla selkeitä ja niistä tulee ilmetä tehtävän edellyttämät vastuut ja velvollisuudet. Valtuutusmenet­telyissä on kuvattava tarkasti päätösten teon edellyttämä tarkistusinformaatio, jonka perusteella tehdyt toimenpiteet voidaan todeta oikeiksi.

Virkamiehen tehtävän kuvaukseen on sisällytettävä kuvaus tehtävän käy­tettävyys- ja salassapitovelvoitteista sekä tehtävän edellyttämästä turvallisuus­luokasta. Tehtävänkuvaus on selkeä perustelu haettaessa henkilölle turvalli­suusselvitystä.

Tietoturvallisuuteen liittyvät vastuu- ja velvollisuuskuvaukset tulee päivit­tää säännöllisesti ja aina tarpeen vaatiessa. Jos esimerkiksi työntekijän työteh­tävät muuttuvat oleellisesti, tulee tehtäväkuvausta muuttaa uusia työtehtäviä vastaaviksi.

Viraston tulee kartoittaa avainhenkilönsä ja varmistaa keskeisimmän henki­löstön tavoitettavuus esimerkiksi nimeämällä avainhenkilöille varahenkilöt.

Toiminnan kannalta vaarallisten tehtävä- ja vastuukokonaisuuksien muo­dostuminen tulee estää eriyttämällä vaaralliset työ- ja valtuusyhdistelmät eri henkilöille. Erityisesti pienissä toimintayksiköissä saattaa helposti tulla tilan­teita, joissa työntekijät tekevät useita, eri organisaatiotasoille kuuluvia työteh­täviä. Nämä tilanteet eivät ole aina vältettävissä, mutta niiden riskejä voidaan vähentää esimerkiksi usean henkilön samanaikaista paikallaoloa edellyttämällä kriittisissä suoritteissa.

4.5 Valtuuttaminen

4.5.1 Valtuutuksen periaatteita

Pääsyoikeuden myöntämisen eli valtuutuksen (authorization) edellytyksiä ovat yleisperustelu pääsylle, esimerkiksi virkasuhde tai ostopalvelun turvaava tur­vallisuussopimus, työtehtävän edellyttämä tarve merkittävälle viraston palve­lulle, henkilön arviointi ja hänestä tehdyt turvallisuusselvitykset.

Valtuuttamisessa huomioitavia periaatteita ovat:

  • valtuuden on aina perustuttava viraston tarpeelle

  • valtuudet myönnetään ”pienimmän oikeuden” -periaatteen mukaisesti ja oikeuksia rajoitetaan käsittely- ja toimintasäännöillä

  • valtuutetut käyttäjät on määriteltävä heidän työtehtävärooliensa avulla henkilöryhminä

  • aiempien käyttäjien valtuuden ”kopiointi” uudelle henkilölle ei ole sallittua

  • etuoikeutettujen erityisryhmien määrä on rajoitettava vähimmilleen

  • tietohallinnon ja muiden etuoikeutettujen ryhmien valtuuksien käyttöä on valvottava

  • tietohallintohenkilöstöllä ei saa olla valtuutta käyttäjien dataan

  • toimintayksiköillä, henkilöstöhallinnolla ja järjestelmien turval­lisuusvastaavilla tulee olla kirjallinen kuvaus toimenpiteistä, joilla henkilöstön tehtävien muutokset ja työsuhteen päättymiset huomioidaan heidän valtuuksiensa muuttamisena tai perumisena. Käyttövaltuuksien ajantasaisuus tulee tarkastaa säännöllisesti

  • järjestelmien hallintatietojen muutoksia on seurattava säännöllisesti

  • käyttäjien dataa ja käyttövaltuustoimenpiteitä koskevien valtuuksien tulee perustua hyväksyttyyn tietojen luokitussuunnitelmaan (data classification scheme).

4.5.2 Valtuutuksen rajoituksia

Pääsyvaltuutta suojattaviin resursseihin (´objektit´) – tietoihin, tai suojattavia tietoja sisältäviin tietojärjestelmiin, tiloihin tai materiaaliin – tulee rajoittaa objektin turvaluokan mukaan. Pääsyn rajoituksia on tarpeen

  1. rajoittaa vuorokauden ajan suhteen (virka-aika, liukuman puitteissa, virka-ajan jälkeen)

  2. arvioida sen toistuvuuden perusteella (kertaluonteinen, tilapäinen, satunnaisesti toistuva tai pysyvä)

  3. käsitellä tapauskohtaisesti, jolloin kullakin kerralla harkitaan pääsytarve erikseen ja lupa myönnetään kertaluonteisesti

  4. arvioida myös sen suhteen, onko henkilöllä oikeus toimia isäntänä muille henkilöille sekä oikeutta päästää muita henkilöitä tietoon

  1. asettaa myös pääsyn mahdollistaville välineille (pääsyavainten säilyttäminen ja käsittely)

  2. arvioida myös vaarallisten työparien kautta ja rajoittaa henkiöiden oikeutta päästä yksin resursseihin ja edellyttää pääsyn edellyttä­mien välineiden tai tietojen jakamista useammalle henkilölle yksin tapahtuvan pääsyn estämiseksi.

Pääsyoikeusvaltuutuksen ja siihen liittyvän pääsynvalvonnan mekanismeja voidaan tarkastella henkilöiden kannalta (´subjektit´) ja suojattavien resurs­sien kannalta (´objektit´).

Pääsyn rajoitusmekanismit jaetaan kolmeen pääryhmään:

  • pakollinen pääsyn rajoitus (mandatory access control, MAC)

  • valinnainen pääsyn rajoitus (discretionary access control, DAC)

  • rooliperusteinen pääsyn rajoitus (role based access control, RBAC).

Pakollisella pääsyn rajoitusmekanismilla (MAC) tarkoitetaan ulkopuolista muodollista valtuutusta suojattavaan objektiin, joka perustuu objektin turva­luokkaan ja asiaryhmään. Subjekti ei itse voi määrittää pääsyoikeuttaan objek­teihin. Pakollisen pääsynrajoituksen oleellisin piirre on siis se, että subjek­tilla ei ole päätösvaltaa muiden tai omiin pääsyvaltuuksiinsa, ei edes subjek­tin itsensä luomiin tietoihin tai hallinnassaan oleviin tiloihin tai omaisuu­teen. Pakollista pääsyn rajoitusmekanismia käytettäessä jokaisella objektilla ja myös subjektilla täytyy olla viiteasiaryhmä (label), jotka valtuutuksella voi­daan liittää toisiinsa.

Pakollinen pääsyn rajoitusmekanismi soveltuu parhaiten korkean turvalli­suustason resurssien turvaamiseen.

Valinnaisessa pääsyn rajoitusmekanismissa (DAC) objektin haltija päättää subjektien valtuuksista. Valinnaisen pääsyn rajoitusmekanismin edellytyksenä on, että jokaisella objektilla täytyy olla haltija. Valinnainen pääsyn rajoitusme­kanismi toteutetaan yleisimmin pääsyoikeuslistoilla (access control list, ACL) tai rooliperusteisesti, joista jälkimmäistä voidaan tarkastella myös omana tyyp­pinään. Pääsyoikeuslista määrittää tarkasti kuka (´subjekti´) saa päästä mihin­kin objektiin ja millaisin toimivaltuuksin.

Pääsyoikeuslista on yleisesti käytössä oleva mekanismi, mutta sen ylläpito ja muutosten hallinta on hankalaa.

Rooliperusteinen pääsyn rajoitusmekanismi (RBAC) perustuu henkilöi­den (subjektit) työtehtäviin. Kullekin työtehtävälle on määritetty työtehtävän sisältöön liittyvä yleisluonteinen pääsyoikeus. Pääsyoikeus on yleisluonteinen, eikä siinä yksilöidä jokaista objektia.

Rooliperusteinen pääsyn rajoitusmekanismi on yleisin mekanismi ja se soveltuu matalan turvallisuustason resurssien turvaamiseen helpon hallitta­vuutensa ja yleispätevyytensä johdosta. Rooliperusteinen pääsyn rajoitusme­kanismin heikkoutena on vastaavasti sen yleisluonteisuus.

4.5.3 Luokituksen tarve

Kokonaisvaltainen turvallisuusjärjestelmä edellyttää, että tietoja suojataan yhtäläisesti riippumatta tiedon muodosta, käsittelytavasta tai haltijasta.

 

PIIRROS 2. Pääsy tietoon.

 

Tietojen luokitus perustuu kansainvälisten aineistojen osalta lakiin kansain­välisistä tietoturvavelvoitteista (588/2004) ja kansallisten aineistojen osalta jul­kisuuslakiin ja sitä täydentäviin hyvää tiedonhallintatapaa koskevaan asetuk­seen ja VAHTI-ohjeeseen tietoaineistojen käsittelystä (VAHTI 2/2000). Luo­kitusta ollaan kehittämässä siten, että kansainvälisten aineistojen jo voimassa oleva neliportainen luokitus on tarkoitus ottaa käyttöön myös kansallisissa aineistoissa. Tällöin turvallisuusluokat ovat

  • käyttö rajoitettu -tieto (luokka IV)

  • luottamuksellinen tieto (luokka III)

  • salainen tieto (luokka II) ja

  • erittäin salainen tieto (luokka I).

Tietojen luokitusjärjestelmä on lähtökohta muiden resurssien luokitukselle.

Tiedot voidaan luokitella seuraaviin kriittisyysluokkiin niiden käytettävyyden ja eheysvaatimusten perusteella

  • ei-kriittiset tiedot

  • merkittävät tiedot (kriittinen)

  • erittäin merkittävät tiedot (erittäin kriittinen).

Tietojärjestelmien, tilojen, omaisuuden ja materiaalin sekä henkilöstön tur­vallisuusluokat ja niiden keskinäinen riippuvuus sääntömatriisina on esi­tetty liitteessä 3.

4.5.4 Valtuuspäätös, tarpeen ja sopivuuden selvittäminen

Valtuutus sisältää päätöksen siitä, miksi henkilö on valtuutettava pääsyyn (tarve) ja onko henkilö sopiva (sopivuus).

Henkilön mahdollisesti aiheuttaman riskin selvittämiseksi on arvioitava henkilön sopivuus tehtävään. Sopivuus arvioidaan määrittämällä henkilölle henkilöstöturvallisuusluokka.

Valtuus = Sopivuus x Tarve (asiaryhmittäin)

Tarve päästä salassa pidettäviin tietoihin ei ole yleinen, vaan tarve tulee koh­dentaa asiaryhmittäin julkisuuslain 24.1 § kohdittain ja tarvittaessa yksilöi­mällä alaryhmittäin. Viraston arkistonmuodostamissuunnitelma (AMS) antaa tähän perusteet. Vaikka henkilöllä olisikin oikeus käsitellä tietyn asiaryhmän salassa pidettäviä tietoja, valtuuttaminen toisiin asiaryhmiin edellyttää tar­vetta päästä niiden tietoihin.

Viraston tehtävien turvallisuusluokitus on peruste valtuuspäätökselle. Valtuuspäätös on kirjattava ja tieto päätöksestä on toimitettava asianosai­sille. Valtuuspäätökseen tulee aina sisällyttää tarvittavat rajoitukset pääsylle ja pääsynhallinnalle, sen voimassaoloajalle ja aikarajoituksille sekä tunnistevälineiden käytölle ja käsittelylle.

Henkilöstöturvallisuusluokka määrää myös periaatteet, minkä turvaluo­kan tilaan, tietoon tai tietovarantoon hänellä on oikeus päästä tai perehtyä, sekä minkä turvaluokan laitetta, järjestelmää tai omaisuutta hänellä on oikeus käsitellä.

4.5.5 Valtuutus pääryhmien perusteella

Pääsyoikeuden kannalta henkilöstö voidaan jakaa viiteen henkilöstön pää­ryhmään heidän turvallisuusstatuksensa mukaisesti:

  • Oma turvaluokiteltu henkilöstö (H)

  • Turvaluokiteltu palveluntoimittajien henkilöstö (S)

  • Turvaluokitellut muut virkamiehet (M)

  • Pysyvän, määräaikaisen oikeuden saaneet vierailijat (P)

  • Kertaoikeuden saaneet vierailijat (V).

Edellä mainittuja henkilöstöryhmiä on tarkasteltava alaryhmissä heidän senhetkisen työtilansa mukaisesti, onko henkilö työtehtävissä (t) vai vapaa­ajalla (v). Henkilökunnan pääsyoikeudet ja turvallisuusmenettelyt poikkea­vat vapaa-aikana siitä, mikä heillä on työtehtävissä. Esimerkiksi työtehtävissä virkamies voi tuoda vieraita virastoon ja toimia heille isäntänä, mutta vapaa­aikana se ei välttämättä ole mahdollista. Samoin virkamies voi vierailla tut-

tavansa luona virastossa, vaikkei se liittyisikään työtehtäviin, mutta silloin se tapahtuu vierailijana. Tämä koskee myös muita henkilöstöryhmiä.

Vierailijat -ryhmän henkilöitä on tarkasteltava myös toiminnallisten tarpei­den mukaan. Vierailija voi olla satunnainen vierailija, jolle myönnetään kerta­luonteinen pääsyoikeus (V-lupa) tai hän voi olla työtehtävissään satunnaisesti vieraileva henkilö, jolloin hänelle myönnetään pysyvä, mutta määräaikainen oikeus pääsyyn (P-lupa).

Vieraalla tulee aina olla isäntä, jonka suosituksesta (tarve) vieras valtuu­tetaan.

 

4.6 Henkilön sopivuuden arviointi

Henkilön mahdollisesti aiheuttamien riskien arvioinnissa on arvioitava hen­kilön luotettavuutta, lojaaliutta, vastuullisuutta ja osaamista. Henkilön sopi­vuuden arviointi sisältää kaksi osaa:

  • henkilön arvioinnin ja taustaselvitykset (henkilön arviointi)

  • poliisiviranomaisen turvallisuusselvityksen (turvallisuusselvitys).

Henkilön sopivuus on arvioitava ennen henkilön palvelukseen ottamista. Tarpeen arviointi on kuitenkin aina arvioitava ennen kuin arvioidaan henkilön sopivuutta työhön.

4.6.1 Henkilön arviointi

Henkilön arvioinnin tarkoituksena on selvittää kohteena olevan henkilön kykyä vastata työtehtävän asettamiin osaamis-, vastuullisuus- ja luotettavuus­vaatimuksiin. Arvioinnissa voidaan ottaa huomioon

  • työtehtäviin liittyvien säädösten tunteminen

  • henkilön yleinen koulutustaso

  • henkilön perehtyneisyys tehtävään

  • henkilön aiempi kokemus ja työhistoria

  • henkilön suosittelijoiden lausunnot

  • henkilön saama tietoturvakoulutus.

Arviointi perustuu monilta osin yksittäistapauksittain tehtävään harkintaan. Työnantajalla voi olla olemassa myös tiettyjä oman toiminnan kannalta mer­kittäviä sisäisiä arviointikriteerejä, jotka voivat perustua työtehtävien sisäl­töön ja tehtävistä suoriutumisen erityisiin vaatimuksiin. Yhtenä tekijänä saat­taa olla esimerkiksi– työntekijän oma tai mahdollisesti myös toisten työnte­kijöiden työturvallisuus. Lisäksi voidaan arvioida henkilön lojaaliutta eli työ­yhteisön yhteisen edun asettamista oman edun edelle. Arvioinnissa saattaa olla tarpeen ottaa huomioon myös aikatekijä. Henkilöstöriski ei välttämättä ajan myötä vähene, vaan joidenkin arviointiin vaikuttavien seikkojen osalta tilanne voi olla päinvastoin.

Luotettavuutta ja soveltuvuutta voidaan arvioida myös henkilön työnanta­jalle toimittaman huumausainetestituloksen perusteella tai turvallisuusselvi­tysmenettelyssä saapuneen kirjallisen vastauksen kautta.

Henkilön arviointi voidaan toteuttaa pyytämällä kohdehenkilöltä selvityk­siä hänen koulutus- ja työhistoriastaan ja järjestämällä ryhmähaastattelu sekä mahdollisesti hankkimalla hänestä asiantunteva psykologinen henkilöarviointi. Psykologisten arviointien käyttäminen tulee arvioida huolella.

4.6.2 Turvallisuusselvitykset

Turvallisuusselvitysmenettelyllä työnantaja pyrkii henkilöstöturvallisuuden varmistamiseen; ennaltaehkäisemään sellaisia rikoksia, jotka vakavasti vahin­goittaisivat Suomen sisäistä tai ulkoista turvallisuutta, maanpuolustusta, poik­keusoloihin varautumista tai edellä mainittujen etujen suojaamisen kannalta erittäin merkittävää tietoturvallisuutta (JulkL § 24.1 kohdat 1,2,5 ja 8-11).

Turvallisuusselvitys voidaan tehdä perusmuotoisena, suppeana tai laajana ja se voidaan tehdä virkaan tai tehtävään hakeutuvasta, tehtävään tai koulutuk­seen otettavasta taikka virkaa tai tehtävää hoitavasta henkilöstä. Virkaa tai teh­tävää jo hoitavasta henkilöstä selvitys tehdään kuitenkin yleensä vain, mikäli hänen työtehtävissään tapahtuu olennaisia muutoksia. Tällainen tilanne voi olla käsillä mm. silloin, kun henkilö pääsee käsiksi aikaisempaa suurempaan määrään turvaluokiteltua tietoa ja materiaalia.

Turvallisuusselvityksiä käytetään koulutukseen haun lisäksi kahteen pää­tarkoitukseen. Ensimmäinen on uuden palkattavan henkilöstön rekrytointi ja toista käytetään yleensä silloin, kun tilaan tai tietoon pääsyn tarve perustuu esimerkiksi ulkopuolisen yrityksen kanssa tehtyyn alihankintasopimukseen. Tällaisia sopimuksia yksityisten tahojen kanssa tehdään esimerkiksi tietoliiken­teen, kiinteistöhuollon tai tavarantoimitusten hoitamisesta. Näissä tilanteissa on turvallisuusselvityslain edellyttämien kriteerien puitteissa mahdollisuus laatia turvallisuusselvitys niistä henkilöistä, joita ulkopuolinen sopimuskump­pani käyttää sopimuksen täyttämiseen. Viimekädessä ratkaisun turvallisuus­selvityksen laatimisesta tekee toimivaltainen viranomainen, eikä ratkaisu ole valituskelpoinen.

Turvallisuusselvitystä haetaan toimivaltaiselta viranomaiselta kirjallisesti siihen tarkoitukseen erikseen varatulla lomakkeella, jossa menettelyn kohteena oleva henkilö antaa selvitysmenettelyyn etukäteen kirjallisen suostumuksensa. Selvitystä tehtäessä siihen saadaan kirjata tietoja ainoastaan sellaisista viran­omaisrekistereistä, jotka mainitaan turvallisuusselvityslaissa. Siinä ei saa käyt­tää vihjetietoa tai ilmiantoja, eikä merkintöjä joiden mukaan henkilön voidaan epäillä syyllistyvän rikokseen. Viranomaisen hallussa olevia muita tietoja kohdehenkilöstä voidaan käyttää eri rekistereistä löytyvän tietojen oikeellisuuden tarkistamiseksi, mikäli se yksittäistapauksessa on välttämätöntä. Selvityksessä ei myöskään käytetä kymmentä vuotta vanhempia tietoja tai tietoja alle viittä­toista vuotta nuorempana tehdystä teosta, ellei niiden käyttäminen ole välttä­mätöntä selvityksen tarkoituksen saavuttamiseksi.

Toimivaltainen viranomainen harkitsee selvitystä laadittaessa tietojen käy­tettävyyden kussakin yksittäistapauksessa erikseen. Mikäli kohdehenkilöä koskevalla rekisterimerkinnällä ei ole tarkoituksenmukaista yhteyttä hakijan hakemuksessa ilmoitettuun tarkoitukseen, voidaan tieto jättää ilmoittamatta turvallisuusselvitysmenettelyssä annettavassa suullisessa tai kirjallisessa vas­tauksessa. Tämä tarkoittaa siis sitä, että turvallisuusselvityksestä saatava vas- taus ei ole yhtä kuin kaikki kohdehenkilöstä löytyvä rekisteritieto.

Turvallisuusselvitys itsessään ei sisällä arvioita kohdehenkilön luotetta­vuudesta tai sopivuudesta, eikä sen sisältö sido selvityksen hakijaa. Henkilön luotettavuuden, lojaaliuden ja vastuullisuuden arvioinnin tulee tapahtua otta­malla arvioinnissa huomioon muita näkökohtia. Joidenkin tehtävien kan­nalta työnantajalla voi olla olemassa tiettyjä toiminnan kannalta merkittäviä sisäisiä arviointiperusteita. Turvallisuusselvityksessä ilmoitetut tiedot saatta­vat vahvistaa tai heikentää näitä arviointiperusteita, ja siksi selvitys tulisikin aina käsittää esimerkiksi rekrytoinnissa vain yhtenä tekijänä kokonaisarvioin­nissa. Myös tämän näkökohdan vuoksi hakijan edustajan tulee olla nimetty ja tehtäväänsä koulutettu yhteyshenkilö. Tällä järjestelmällä pyritään takaa­maan lisäksi kohdehenkilön yksityisyyden suojaa lain edellyttämällä tavalla, koska turvallisuusselvityslain mukaisesti selvityksiä saavat käsitellä vain ne, joiden työtehtäviin se kuuluu. Selvitystä voidaan käyttää vain turvallisuussel­vityshakemuksessa ilmoitettuun tarkoitukseen. Selvitys on hävitettävä heti, kun se ei enää ole tarpeen selvitystä haettaessa ilmoitetun käyttötarkoituk­sen kannalta.

Mikäli selvitysmenettelyssä ei ole ilmennyt hakemuksen tarkoituksen kan­nalta merkittävää rekisteritietoa, voidaan vastaus antaa hakijalle suullisesti. Käy­tännössä se tapahtuu puhelimitse. Muussa tapauksessa toimivaltainen viran­omainen toimittaa hakijalle vastauksen kirjallisesti. Hakija saa itse antaa koh­dehenkilölle tiedon suullisen vastauksen sisällöstä, mutta mikäli vastaus on saapunut hakijalle kirjallisena, on kohdehenkilön tiedusteltava selvityksen sisältöä toimivaltaiselta viranomaiselta. Kysely tehdään aina kirjallisesti. Tie­donsaantioikeus ei kuitenkaan koske sellaista tietoa, joka on peräisin rekis­teristä, johon rekisteröidyllä ei lain mukaan ole tarkastusoikeutta. Tällaisia rekistereitä ovat mm. Pääesikunnan tutkintaosaston turvallisuustietorekisteri sekä Suojelupoliisin toiminnallinen tietojärjestelmä. Tietosuojavaltuutetulla on kuitenkin aina oikeus tutustua turvallisuusselvitykseen sen lainmukaisuu­den tarkistamiseksi.

Silloin, kun tilaan tai tietoon pääsyn tarve perustuu ulkopuolisen yrityksen kanssa tehtyyn sopimukseen, toimii turvallisuusselvityksen hakijana yhteisö, jonka tilasta tai tiedosta on kysymys. Näissä tilanteissa ulkopuolisen sopimus­kumppanin sopimuksen täyttämiseen käyttämästä henkilöstöstä tehdyt selvi­tykset palautuvat hakijalle, eikä varsinaisella työntekijän palkkaavalla ulkopuo­lisella yrityksellä ole oikeutta saada tietoa selvityksen sisällöstä.

Turvallisuusselvitysmenettelyn käyttö ei kuitenkaan korvaa työnantajan mahdollisuuksia käyttää rekrytoinnissa esimerkiksi lain yksityisyyden suojasta työelämässä mukaisia keinoja. Näiden tietojen keräämisen tulisi tapahtua ensi­sijaisesti työntekijältä itseltään ja tietojen sisällöstä keskustelemista ei ole rajattu samalla tavoin kuin turvallisuusselvityksessä olevien tietojen osalta on kyse.

Paikallispoliisin tekemät turvallisuusselvitykset ja hakeutuminen turvalli­suusselvitysmenettelyyn on esitetty liitteessä 4.

 

4.7 Kansainvälinen henkilöturvallisuustodistus

Suomen kansainväliseen poliittiseen, sotilaalliseen, kauppapoliittiseen tai kehitysyhteistyöhön osallistumisen edellyttämät henkilöturvallisuusselvi­tykset kuuluvat ns. National Security Authority (NSA) sopimusjärjestelmän piiriin. NSA-järjestelmän peruspilarit ovat Suomen ja NATO:n välisen Part­nership for Peace -sopimuksen turvallisuusosio, Euroopan Unionin turval­lisuussäännöstö (luku 3.6), Euroopan avaruusjärjestön turvasopimus sekä Suomen tekemät kahdenväliset valtiotason turvallisuussopimukset. Mm. näiden kansainvälisten tietoturvavelvoitteiden voimaansaattamiseksi sää­dettiin vuonna 2004 laki kansainvälisistä tietoturvavelvoitteista (588/2004). Suomelle aiheutuvien velvoitteiden täyttämisestä vastaa ulkoasiainministe­riön turvallisuusyksikköön sijoitettu National Security Authority (NSA) sekä Designated Security Authority (DSA) -viranomaisina puolustusministeriö, pääesikunta ja suojelupoliisi.

Jotta henkilö voi päästä kotimaassa käsiksi kansainväliseen turvaluoki­teltuun tietoon tai osallistua ulkomailla järjestettäviin turvaluokiteltuihin kokouksiin, edellyttävät kansainväliset tietoturvavelvoitteet aina arviota hen­kilön luotettavuudesta ja sopivuudesta. Arvio pohjautuu turvallisuusselvitys­menettelyyn, jonka perusteella NSA tai DSA -viranomainen myöntää henki­lölle turvallisuustodistuksen (Personal Security Clearance, PSC).

NATO- ja EU varmistavat säännönmukaisin tarkastuksin, että Suomessa noudatettu henkilöturvallisuustodistusmenettely täyttää sille asetetut kan­sainväliset vaatimukset. Menettelyssä mahdollisesti ilmenevät puutteellisuu­det voivat johtaa ulkomaisen salassapitoluokitellun tiedon saannin oleelliseen vaikeutumiseen tai tiedonsaannin tyrehtymiseen.

Ulkoasianministeriön turvallisuusyksikkö koordinoi kansainvälisten hen­kilöturvallisuustodistusten myöntämismenettelyä.

 

4.8 Henkilöriskien tarkastuslista

Lainsäädäntö velvoittaa huolehtimaan työntekijöiden turvallisuudesta. Tähän huolehtimisvelvollisuuteen kuuluu, että avainhenkilöihin kohdistuviin riskei­hin varaudutaan. Tällöin on kuitenkin huolehdittava, että yksityisyyden suo­jaa ei loukata.

Virastolla tulee olla selkeät ohjeet niistä toimenpiteistä, jotka on tehtävä henkilön työsuhteen päättyessä.

4.8.1 Työntekijän palvelukseen otto

  1. määrittele tehtävä, vastuut ja oikeudet sekä velvollisuudet

  2. selvitä hakijan soveltuvuus tehtävään (psykologiset testit edellyttävät työntekijän suostumusta)

  3. tarkasta työhistoria henkilöltä itseltään ja pyydä työtodistukset

  4. tarkasta koulutustausta koulu- ja tutkintotodistuksista

  5. selvitä hakijan taloudellinen tilanne (edellyttää hakijan suostumusta)

  6. tarkasta yrityskytkennät YTJ-rekisteristä

  7. ota yhteyttä suosittelijoihin, jotka on mainittu työhakemuksessa

  8. mahdollisesti lisäksi turvallisuusselvitys sekä huumausainetestaus, jos siihen on edellytykset

4.8.2 Palvelussuhteen aikana

Turvallisuusvastaavilla tulee olla kirjallinen kuvaus toimenpiteistä, joilla henkilöstön tehtävien muutokset ja työsuhteen päättymiset huomioidaan.

4.8.3 Työsuhteen päättyessä

  1. järjestä lähtöhaastattelu

  2. poista käyttö- ja kulkuoikeudet

  3. velvoita palauttamaan materiaali ja muu omaisuus

  4. muistuta salassapitovelvoitteesta

  5. sähköpostin ja tietoaineistojen käsittely

  6. siirrä tietopääoman sijaiselle, huolehdi dokumentoinnista

  7. työtehtävien luovutus seuraajalle tai sijaiselle

  8. tiedota henkilön lähdöstä viraston henkilöstölle

 

4.9 Valtuutusprosessin turvallisuus (luvitus)

Valtuutusprosessi on henkilöstöturvallisuusprosessi, joka on turvattava eri­tyisen huolellisesti käsittelyketjujen turvaohjausmekanismeilla. Henki­löiden roolit on eriytettävä, kriittisiä suorituksia on valvottava kahden tai useamman henkilön toimesta, arkaluonteisimmat valtuustiedot on jaettava useamman henkilön kesken ja ketjun eriytetty valvonta on toteutettava.

Luvitusprosessi on esitetty yksityiskohtaisesti valtiovarainministeriön VAHTI-ohjeessa 9/2006 ”Käyttövaltuushallinnan periaatteet ja hyvät käy­tännöt”.

 

4.10 Ostopalvelujen turvallisuus

4.10.1 Palvelut ja alihankintaketjujen palveluntuottajat

Nykyisin yhä merkittävämpi osa virastojen palveluista tuotetaan ostopalve­luina. Ostopalvelut muodostavat usein laajoja alihankintaketjuja, joissa var­sinainen palvelun tuottaja ja sen henkilöstö saattavat jäädä huomioimatta. Palveluhenkilöstön turvallisuudesta varmistuminen on henkilöstöturvalli­suustyön keskeinen haaste.

Palvelun tilaajalla tarkoitetaan tässä virastoa ja muita sen valtuuttamia toimijoita, jotka tilaavat huolto- ja ylläpitopalveluita.

Palvelun tuottajalla tarkoitetaan tässä huolto- ja ylläpitopalveluja tuottavia yrityksiä, joiden henkilöstö säännöllisesti tuottaa palvelua viraston tiloissa.

4.10.2 Turvallisuus- ja salassapitosopimukset

Palveluyritysten kanssa tulee tehdä turvallisuus- tai salassapitosopimus. Turvallisuussopimus on laajempi koko yritystä ja sen turvallisuutta koskeva sopimus ja salassapitosopimuksella huolehditaan erityisesti henkilöstötur­vallisuusjärjestelyistä. Salassapitosopimus voidaan tehdä myös yksittäisten henkilöiden kanssa.

Sopimus on luonteeltaan viraston ja yrityksen välinen turvallisuusjärjeste­lyjä koskeva yleissopimus. Sopimuksessa määritellään sopijaosapuolten kesken noudatettavat turvallisuusjärjestelyt. Sopijaosapuolet sitoutuvat noudattamaan sopimusta kaikissa hankkeissa ja palveluissaan, joissa käsitellään salassa pidet­tävää tietoa, asiakirjoja ja materiaalia. Sopimuksen allekirjoittamisen jälkeen yrityksellä on mahdollisuus sopimuksen määrittämissä rajoissa valmistella ja toteuttaa viraston kanssa erikseen määritettäviä hankkeita.

Yritys sitoutuu pitämään salassa kaikki sille luovutetut ja sillä olevat salassa pidettäväksi säädetyt tai sellaisiksi lain nojalla määrätyt tiedot. Salassa pidet­tävästä tiedosta, asiakirjasta ja materiaalista saa antaa tiedon vain erikseen nimetyille henkilöille. Salassapitovelvollisuus on voimassa myös sopimuksen päättymisen jälkeen.

Sopimuksessa yritys sitoutuu säilyttämään ja käsittelemään työhön liittyviä tietoja, asiapapereita, laitteita, koneita, valokuvia, työpiirustuksia, tietolevyjä ja vastaavia salassa pidettäviä tavaroita siten, että ne pysyvät vain käsittelyoi­keuden omaavien hallinnassa, eivätkä joudu ulkopuolisten haltuun, tutkitta­vaksi tai tietoon.

Sopimuksella pitää myös rajoittaa tietojen ja materiaalin valokuvaus, kopiointi, vieminen pois toimitiloista tai muistiinpanojen tekeminen salassa pidettävistä tie­doista. Sopimuksen päätyttyä yhteisesti sovittavana ajankohtana sopijaosapuolet mahdollisine alihankkijoineen palauttavat kaikki toimeksiantoon liittyvät doku­mentit, tallenteet ja materiaalin tai tuhoavat ne sovitulla tavalla.

Yrityksen on huolehdittava, ettei viraston suojelukohteiden tai toiminnan turvallisuus vaarannu yrityksen henkilöstön huolimattomuuden, virheellisten työtapojen tai muun toiminnan johdosta.

Yritys saattaa viraston kanssa yhteistyötä tekevän ja sopimuksen vaikutus­alaan kuuluvan henkilöstönsä tietoiseksi sopimuksen salassapitovelvoitteista sekä sitoutuu valvomaan, että henkilöstö noudattaa sopimusta. Yritys voidaan velvoittaa toimittamaan sopimuksen kohteena olevaan toimintaan liittyvän henkilöstönsä täyttämät ja allekirjoittamat henkilötiedot virastolle turvallisuus­selvityksen tekemistä varten (laki turvallisuusselvityksistä, 177/2002) turval­lisuusselvityshakemuslomakkeella. Selvitys tehdään henkilöistä, jotka käsitte­levät työssään tämän sopimuksen kohteena olevia salassa pidettäviä tietoja tai joilla on pääsy sellaisiin viraston hallinnassa oleviin tiloihin, joissa liikkumista on turvallisuussyiden perusteella syytä rajoittaa. Yhteistyöhön nimettävän ja viraston hyväksymän henkilöstön tulee tehdä vaitiolovakuutus ennen kaupal­lisen pääsopimuksen syntyä.

Mikäli yritys käyttää alihankkijoita, aliurakoitsijoita tai muita palvelujen toimittajia viraston yhteishankkeissa, tulee sen hyväksyttää alihankkijat ja nii­den yhteistoimintaan osallistuva henkilöstö sovittujen menettelyjen mukaisesti ennen aliurakointi- tai muun sopimuksen tekemistä sillä edellytyksellä, että alihankkija käsittelee salassa pidettävää tietoa tai toimii tiloissa, joissa käsitel­lään salassa pidettävää tietoa. Mikäli edellä kuvatut ehdot täyttyvät, yrityksen tulee tehdä alihankkijansa kanssa turvallisuussopimus. Yrityksen on tiedotet­tava alihankkijalleen, että turvallisuusjärjestelyjen saattamisesta viraston vaa­timalle tasolle saattaa syntyä kustannuksia.

Yritys tai sen alihankkijat saavat mainita referenssinä tehneensä työtä viras­tolle ainoastaan, jos asiasta on erikseen kirjallisesti sovittu.

Yrityksen tulee toimittaa yrityksen turvallisuuskartoitus ja -ohjeistus virastolle.

Viraston tulee varata oikeus tarkastaa etukäteen ilmoitettuna ajankohtana yrityksen turvallisuusjärjestelyjä sitä koskevilta osilta. Yritys on myös velvol­linen ilmoittamaan virastolle, jos sen omistussuhteissa, viraston kannalta keskeisissä toiminnoissa, henkilö- tai turvallisuusjärjestelyissä tapahtuu muutok­sia tai yritykseen kohdistuu turvallisuutta tai poikkeusoloihin varautumista mahdollisesti uhkaavia toimenpiteitä, esimerkiksi yhteydenottoja tai tieto­murtoyrityksiä.

Yrityksen kanssa tulee sopia tarkoin yhteyshenkilöt sopimuksen toteuttami­seen liittyvissä kysymyksissä. Yhteyshenkilöt vastaavat sopimuksen tarpeelli­sesta päivittämisestä. Päivittämistarve on arvioitava yhteyshenkilöiden kesken vähintään kahden vuoden välein.

Viraston kanssa erikseen sovittavissa hankkeissa ja yhteistoimintajärjes­telyissä tulee määritellä yksityiskohtaisemmat turvallisuusjärjestelyt kunkin hankkeen edellyttämässä laajuudessa. Hankkeen sopimuspapereihin tulee liit­tää kyseistä hanketta koskeva turvallisuusliite.

4.10.3 Vaitiolositoumus

Palveluntuottajien henkilöstön, palveluhenkilöiden, tulee tehdä sitoumus vaiti­olosta. Sitoumuksen tarkoituksena on varmistaa, että palveluhenkilö ymmär­tää salassapitovelvoitteensa.

4.10.4 Palvelun tuottajien määräaikaiset pääsyluvat

Palveluntuottajien huolto- ja ylläpitohenkilöstölle on tarpeen myöntää määrä­aikaisia kulkulupia (P-lupa) silloin, kun henkilö säännöllisesti tarvitsee oikeu­den liikkua viraston tiloissa. Tämän menettelyn piiriin eivät kuulu tapauskoh­taiset käynnit ja vierailut (V-lupa).

Palveluja tuottavien yritysten osalta luvan myöntämisen edellytyksenä on

  • palvelusopimus tai työtilaus

  • siihen liittyvä turvallisuussopimus, salassapitosopimus tai vaitiolositoumus

  • tarvittaessa turvallisuusselvitys

  • todennettu palvelutehtäväntehtävän edellyttämä jatkuva tarve päästä tiloihin.

Pysyvä pääsylupa turvallisuusluokiteltuihin rajoitustiloihin edellyttää eräissä tapauksissa suppeaa turvallisuusselvitystä. Pääsy poikkeusolojen varalle ja eri­koistarkoituksiin rakennettuihin tiloihin salassapito- ja turvallisuusjärjeste­lyistä johtuen edellyttää yleensä perusmuotoista turvallisuusselvitystä.

Palveluhenkilöt tulee rekisteröidä (akkreditointi).

Palvelun tuottajien tulee ilmoittaa palvelun tilaajalle tiedot niistä henki­löistä, joilla on palvelun tuottamiseksi välttämätön tarve päästä säännölli­sesti viraston tiloihin. Palveluhenkilö täyttää turvallisuusselvityshakemuk­sen kohdan ”Selvityksen kohteena olevan henkilön tiedot” palvelun tilaajan antamien ohjeiden mukaisesti, allekirjoittaa hakemuksen ja toimittaa sen palvelun tilaajalle.

Palvelun tuottajalle ilmoitetaan lupapäätöksestä, jonka jälkeen pääsyyn oikeutettu henkilö rekisteröityy viraston rekisteröintipisteessä. Rekisteröi­tymisessä hänen henkilöllisyytensä ja tietonsa todennetaan, hänet kuvataan sekä hänelle valmistetaan kuvallinen henkilötunniste ja henkilökohtainen kulkukortti.

Palvelun tilaajalla on keskeinen rooli luvitusmenettelyssä. Palvelun tuottaja toimittaa tiedot palveluhenkilöistään palvelun tilaajalle, jonka tulee tarkastaa ne ja arvioida palveluhenkilön pääsyn tarpeellisuus viraston tiloihin. Pääsyyn oikeutettujen henkilöiden määrä on pidettävän kohtuullisen pienenä. Erityisesti on arvioitava päivystys- ja varalla olevan henkilöstön määrää.

Turvallisuusselvityshakemuksen asianmukainen täyttäminen on ehdot­toman välttämätöntä sekä käsittelyn että henkilöiden oikeusturvan kannalta. Palvelun tilaajan tulee tarkastaa palveluhenkilön toimittaman turvallisuusselvi­tyshakemuksen tiedot. Palvelun tilaaja täyttää hakemuksen kohdan ”Tehtävään liittyvät tiedot” ja määrittää henkilön tehtävänimikkeen ja merkitsee kohtaan ”Osasto tai yksikkö” oman virastonsa yksikön ja osaston. Kohta ”Tarkka tehtä­väkuvaus” on täytettävä huolella siten, että siitä ilmenee miksi tehtävä on niin merkittävä, että henkilöstä on tehtävä turvallisuusselvitys. Palvelun tilaa­jan on liitettävä hakemukseen asiaa käsittelevä yksityiskohtainen liite. Kohta ”Arkaluontoisen tilan tai paikan kuvaus” on myös täytettävä. Tarvittaessa lii­tetään mukaan liiteasiakirja.

Selvityksen hakijan tiedot -kohta voi olla esitäytetty. Hakijalla tarkoitetaan virastoa, joka on sopinut turvallisuusselvitysmenettelystä poliisiviranomai­sen kanssa.

Kiireellisessä tilanteessa palvelun tuottajan henkilöstölle voidaan myöntää tapauskohtaisesti poikkeuslupa päästä tiloihin. Palveluhenkilöllä tulee saapues­saan olla virallinen henkilöllisyystodistus tai muu sovittu tunniste.

 

4.11 Valtuutuksen siirtäminen ja hallinnointi

Pääsyoikeuden täytyy perustua valtuutukseen.

Yleensä valtuutettaessa voidaan antaa ainoastaan yleisvaltuutus, jota tarken­netaan luvitusprosessissa. Valtuuksien hallinnointi voi olla hajautettua, jolloin paikallisten käyttövaltuushenkilöiden tulee toimia keskitetyn valtuushallinta­politiikan mukaisesti ja heidän toimiaan on valvottava.

Valtuuttajana voi toimia ainoastaan tähän kirjallisesti valtuutettu henkilö, yleensä toimintayksikön päällikkö, joka joko omistaa tai toimii tiedon hallus­sapitäjänä virastossa. Valtuuttamisessa tulee käyttää vakioituja toimintatapoja ja valtuutus on vahvistettava kirjallisesti. Sähköisessä valtuutuksessa on käy­tettävä digitaalista allekirjoitusta valtuutuksen eheyden ja kiistämättömyyden takaamiseksi.

 Valtuudet kirjataan käyttäjä- ja valtuustietorekisteriin. 

Valtuutus voidaan siirtää kohdevirastolle tai kohdejärjestelmiin:

  1.  henkilökohtaisesti toimittamalla valtuuskirje (akkreditiivi) kohdevirastoon (akkreditointi)

  2.  välittämällä käyttäjä- ja valtuustiedot järjestelmien välityksellä (provisionti).

 4.11.1 Käyttäjä- ja valtuustietorekisteri

Käyttäjä- ja valtuustiedot tallennetaan pääsynvalvontaa varten käyttäjä- ja valtuustietorekisteriin.

Käyttäjätiedot sisältävät tiedot käyttäjästä (identiteetti) ja hänen tunniste­tietonsa, joilla henkilö voidaan tunnistaa. Henkilöllisyys eli identiteetti (iden­tity) on joukko ominaisuuksia, jotka kuvaavat käyttäjää ja joiden avulla käyt­täjä voidaan tunnistaa. Valokuva, josta henkilö on tunnistettavissa, on laissa tarkoitettu henkilötieto. 

Valtuustiedot (crentials) ovat tietoja henkilön valtuuksista. Käyttäjä- ja käyttövaltuusrekisteristä on laadittava tietosuojaseloste. 

4.11.2 Akkreditointi ja rekisteröiminen

Akkreditoinnissa henkilön valtuus (akkreditiivi) saatetaan tiedoksi kohdevi­rastoon tai kohdejärjestelmästä vastaavalle. Akkreditoinnin kohdevirasto tai -järjestelmän vastaavalle luovutetaan valtuutus, kirjataan ja tarkistetaan tun­nistetiedot ja viedään kohdejärjestelmään tai muun kulunvalvontajärjestelyn käyttöön tunnistamista varten. 

Akkreditoinnin yhteydessä mahdollisesti luovutetaan tunnistamisessa ja todentamisessa tarvittava tunnisteväline tai -tieto rekisteröidylle. Rekisteröin­nissä kirjataan kohdejärjestelmään vertailutieto, jota vertaamalla henkilön anta­miin tietoihin voidaan todentaa henkilön aitous (autentikointi).

Viraston ulkopuolella valmistettujen tunnistevälineiden ja tunnistetietojen (salasana) toimittaminen rekisteröitymispisteeseen on turvattava. Lähtökoh­taisesti ne toimitetaan eri kanavia käyttäen ja niiden antamaa käyttöoikeutta ei saa paljastaa rekisteröijälle.

4.11.3 Henkilörekisterin pitäminen

Henkilötiedolla tarkoitetaan ”kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi” (HetiL 3 § 1 kohta). Tämän määritelmän nojalla mm valo­kuvan, josta henkilö on tunnistettavissa, katsotaan olevan laissa tarkoitettu henkilötieto. Tämä tulkinnallinen lähtökohta on vahvistettu lainsäädännön esitöissä (HE 96/1998, s. 35) sekä tietosuojalautakunnan käytännössä (mm. tietosuojalautakunnan päätös 1/25.2.2002).

Tarkastuksen tekemisestä voidaan tehdä merkintä henkilötietojärjestel­mään.

Tunnistettavuuden arviointia on tarkasteltava objektiivisesti. Koska arvioin­tiin liittyen ei ole toistaiseksi olemassa laajaa ennakkokäytäntöä ja sitä on muu­toinkin vaikea yleispätevästi soveltaa, voidaan arvioinnin jonkinlaisena lähtökoh­tana pitää Euroopan neuvoston hyväksymiin eri aloja koskeviin tietosuojasuo­situksiin sisältyvää kriteeriä, jonka mukaan henkilöä ei pidetä tunnistettavissa olevana, jos tunnistaminen vaatii kohtuuttomasti aikaa, kustannuksia ja työtä (tietosuojalautakunnan päätös 13/4.6.1990).

Henkilötietolain soveltamisen kannalta merkitystä on myös henkilörekis­terin käsitteellä ja vaatimuksella määritellä henkilötietojen käsittelyn tarkoi­tus (henkilörekisterin käyttötarkoitus). Henkilötietolakia sovelletaan kaikkeen henkilötietojen automaattiseen käsittelyyn sekä muuhun henkilötietojen käsit­telyyn ”silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodos­taa henkilörekisteri tai sen osa” (HetiL 2.2 §). Henkilörekisterillä tarkoitetaan ”käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan auto­maattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luett­eloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koske­vat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta” (HetiL 3 § 3 kohta). Henkilötietolain 6 §:n mukaan henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtä­vien hoitamiseksi henkilötietoja käsitellään. Määritelty käsittelyn tarkoitus on keskeinen toiminnan laillisuuden arvioimisen kannalta (ks. kappale 3). Lain nojalla henkilötietolain säädöksiä sovelletaan lähtökohtaisesti siis kaikenlai­seen valokuvien käsittelyyn, jossa valokuvia, joissa esiintyy tunnistettavissa olevia henkilöitä, käsitellään tai järjestetään edellä kuvatulla tavalla.

Henkilötietolain käsitteistön mukaan valokuvia edellä mainitulla tavalla käsit­televän tahon katsotaan olevan kuvia sisältävän henkilörekisterin rekisterinpitäjä (HetiL 3 § 4 kohta), jota koskevat laissa tarkemmin säädetyt velvollisuudet.

Henkilötietolaki sisältää myös luettelon poikkeuksista, jolloin lakia ei sovelleta. Tällaisia poikkeuksia ovat muun muuassa henkilötietojen käsit­tely henkilökohtaisiin tai tavanomaisiin yksityisiin tarkoituksiin, esimerkiksi kuvien, myös kännykkäkameran kuvien, ottaminen ja järjestäminen omaan valokuva-albumiin tai omaan tietokonetiedostoon, sanomalehdissä tai muissa tiedotusvälineissä julkaistujen kuvien kokoaminen (lehtileikkeiden keräämi­nen), valokuvien käyttäminen toimituksellista tarkoitusta varten sekä valo­kuvien käsittely taiteellisen tai kirjallisen ilmaisun tarkoituksessa (valokuva­näyttelyn järjestäminen tai kirjan kuvituksen toteuttaminen).

Valokuvien käsittely on oikeudelliselta kannalta sidoksissa useisiin eri perus­oikeuksiin, kuten yksityisyyden suojaan, sananvapauden käyttöön, tekijän­oikeuteen sekä julkisuusperiaatteeseen silloin, kun valokuva on osana viran­omaisen asiakirjoja.

Valokuvien käsittelystä on myös nimenomaisesti säädetty joissakin erityis­laeissa, jolloin näiden lakien säännökset syrjäyttävät siltä osin henkilötietolain soveltamisen. Erityislakeja ja säännöksiä ovat mm. laki henkilötietojen käsit­telystä poliisitoimessa (761/2003), henkilökorttilaki (829/1999) ja laki ajoneu­voliikennerekisteristä (541/2003) ja valtioneuvoston asetus yleisistä turvallisuuspalveluista (534/2002). 

Henkilötietolain 5 §:n huolellisuusvelvoitteen mukaan ”Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tieto­jenkäsittelytapaa, sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselä­män suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta”. Yhtä tärkeänä yleisenä lähtökohtana henki­lötietolain 6 §:n suunnitteluvelvoitteen nojalla on, että henkilötietojen käsit­telyn tulee olla aina asiallisesti perusteltua rekisterinpitäjän laillisen ja hyväk­syttävän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset, sekä säännönmukaiset tietolähteet ja tietojen luovutukset on myös suunniteltava ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Silloin kun kuvien saattaminen yleisesti saataville loukkaa jotakin nimenomaista lain säännöstä tai kuvan kohteena olevan henkilön jossain muussa laissa suojattua oikeutta, ei tämän henkilötietolain 6 §:n asettama tietojen käsittelyn asiallisen perusteltavuuden yleinen edellytys voi koskaan täyttyä. Hyväksyttävän perus­teen keskeisyyttä korostaa myös se, että tämän perusteen on oltava voimassa valokuvia ajatellen myös kuvaustilanteessa; esim. kunniaa loukkaavan sekä kär­simystä tai halveksuntaa kuvan kohteelle aiheuttaman valokuvan ottamista voi pitää jo lähtökohtaisesti lain vastaisena.

Valokuvien liittämistä rekisteriin tarpeettomasti, eli vastoin henkilötieto­lain 9 §:n 1 momentin tarpeellisuusvaatimusta, ei pidetä hyvän tietojenkäsit­telytavan ja henkilötietolain mukaisena. 

Edellä mainittujen henkilötietolain yleisvelvoitteiden ohella on ensisijaisesti huomioitavaa myös se, että henkilötietolain 8 §:n 1 momentin mukaan hen­kilötietojen käsittely voi perustua ainoastaan laissa määriteltyyn perustee­seen. Näitä perusteita ovat:

  1. rekisteröidyn yksiselitteisesti antama suostumus (HetiL 8.1 § kohta 1)

  2. asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen luoma asiallinen yhteys (Hetil 8.1 § kohta 5)

  3. jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta (HetiL 8.1 § kohta 4).

Myös henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkei­noelämässä kuvaavia yleisesti saatavilla olevia tietoja on mahdollisuus käsi­tellä oikeuksien ja etujen turvaamisen tarkoituksessa. (HetiL 8.1 § kohta 8) Valokuviin henkilötietolaki liittyy yleensä tilanteissa, joissa kuva on osana henkilörekisteriä. 

Lakiin perustuvasta oikeudesta on esimerkiksi kysymys, kun valokuvia kerä­tään ja talletetaan passilain nojalla passin myöntämistä varten. 

Valokuvan tallettaminen henkilörekisteriin liittyy usein henkilötietolain 8 §:n 1 momentin 5 kohdan mukaisiin tilanteisiin, joissa rekisterinpitäjän ja rekisteröidyn välillä on asiallinen yhteys. Esimerkkinä voidaan mainita henki­löstöhallinnon rekisteri, joihin tietyillä edellytyksissä voi olla tarpeen tallettaa työntekijöiden tai tietyssä asemassa olevien työntekijöiden valokuvia. Valoku­van tulee olla tarpeellinen rekisterin käyttötarkoituksen kannalta. Valokuvan tallettamiselle rekisteriin tulee myös olla erityinen tarkoitus, kuten esim. hen­kilön tunnistaminen tai yksilöitävyyden parantaminen. Valokuvan käyttämi­nen voi olla tarpeellista tietyin edellytyksin esim. työpaikan kulkukorteissa tunnistettavuuden varmistamiseksi. 

Tässä yhteydessä voidaan nostaa myös erityisesti esille suostumus henkilötie­tojen käsittelyyn oikeuttavana perusteena. Henkilötietolaissa määrääväksi peri­aatteeksi omaksutun itsemääräämisoikeuden mukaisella suostumuksella tarkoi­tetaan henkilötietolain 3 §:n 7 kohdan mukaan ”kaikenlaista vapaaehtoista, yksi­löityä ja tietoista tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn”. Suostumuksen ei välttämättä tarvitse olla kirjallinen, mutta muun muassa suostumuksen tietoisuusvaatimuksen tueksi henkilötietolaissa on sää­detty henkilötietojen kerääjälle/käsittelijälle informointivelvoite. Henkilötieto­lain 24 §:n mukaista informointivelvoitetta tulee noudattaa pääsääntöisesti aina kun henkilötietoja kerätään. Henkilötietolain 24 §:n 1 momentissa todetaan: ”Rekisterinpitäjän on henkilötietoja kerätessään huolehdittava siitä, että rekiste röity voi saada tiedon rekisterinpitäjästä ja tarvittaessa tämän edustajasta, hen­kilötietojen käsittelyn tarkoituksesta sekä siitä, mihin tietoja säännönmukaisesti luovutetaan, samoin kuin ne tiedot, jotka ovat tarpeen rekisteröidyn oikeuksien käyttämiseksi asianomaisessa henkilötietojen käsittelyssä. Tiedot on annettava henkilötietoja kerättäessä ja talletettaessa tai, jos tiedot hankitaan muualta kuin rekisteröidyltä itseltään ja tietoja on tarkoitus luovuttaa, viimeistään silloin kun tietoja ensi kerran luovutetaan”. Suostumusta pyydettäessä informoinnin tulee sisältää lisäksi kaikki suostumuksen antajan kannalta olennainen tieto.

Henkilötietolainsäädännön taustalla vaikuttavana yleisenä lähtökohtana on, että henkilötietolain säännökset pyrkivät ennaltaehkäisemään mahdollisia ongelmatilanteita ohjaamalla kaikkia henkilötietoja käsitteleviä tahoja, julkis­hallintoa, yrityksiä, yhteisöjä ja muita rekisterinpitäjiä, hyvään tietojenkäsittely- ja tiedonhallintatapaan. Suostumuksen pyytämisen merkitys on tässä asiassa korostuneen tärkeää. Itsemääräämisoikeuden ja kielto-oikeuden käyttämisen mahdollistaminen valokuvia julkisesti käsiteltäessä ilmentää aina henkilötieto­lain 5 §:n asettaman hyvän tietojenkäsittelytavan noudattamista, jolloin tehok­kaasti voidaan välttyä mahdollisilta jälkikäteen ilmeneviltä ongelmilta. 

Yleisenä henkilötietolakiin sisällytettynä sääntönä on nostettava esille vielä tarkastusoikeus. Silloin kun valokuva on talletettu osaksi henkilörekisteriä, on rekisteröidyllä kuvaan sekä muihin itseään koskeviin tietoihin tarkastusoikeus henkilötietolain 26 §:n nojalla.

4.11.4 Provisiointi

Provisioinnilla välitetään käyttäjä- ja valtuustiedot järjestelmien välityksellä suoraan kohdejärjestelmään käyttäjä- ja käyttövaltuusrekisteristä.

 

Kuva 3. Esimerkki viraston valtuuksien hallinnasta tietojärjestelmäympäristössä

4.12 Pääsyn hallinta ja tunnistaminen

4.12.1 Luottamusketju, aitouden todentaminen

Aitous (authenticity) on ominaisuus, jota tarvitaan käytettäessä apuvälineitä henkilöllisyyden todentamiseen. Todentamista ei tule käsittää ainoastaan hen­kilöllisyyden todentamiseksi. Aitouden todentaminen tulee kyseeseen aina, kun henkilöä ei ”tunneta” ja hänen tunnistamisessaan käytetään tunnistevä­lineitä tai tunnistevertailutietoja.

Todentamisen vahvuus riippuu apuvälineitä käytettäessä koko luottamus­ketjun luotettavuudesta. Jokaiseen sidokseen on pystyttävä luottamaan ja jokai­sen apuvälineen aitoudesta on voita varmistua.

PIIRROS 3. Tunnistamisen luottamusketju ja siinä tarvittava aitouden todentaminen.

4.12.2 Tunnistaminen

Kulunvalvonta on henkilön tunnistamista. Henkilöllisyys on voitava todeta ja hänen pääsyvaltuutensa on voitava varmistaa todeksi.

Tunnistamisessa henkilö tunnistetaan siten, että hänet

  1. tunnetaan henkilökohtaisesti

  2. tunnistetaan biometrisesti (fyysinen vertailutieto; kuva tai muu ominaisuus)

  3. tunnistetaan tiedosta (tiedollinen vertailutieto; salasana)

  4. tunnistetaan jostakin esineestä, joka on hänen hallussaan (aitous ja hallussapitoketjun eheys; avain tai muu tunnisteväline).

Tunnistamisessa tarvittavat vertailutiedot hankitaan rekisteröidyttäessä. Tunnistamistilanteessa saatua vertailutietoa verrataan rekisteröidyttäessä annettuun henkilöllisyystietoon.

4.12.3 Tunnisteet

Tunnisteita ovat

  • tunnistevälineet

  • tunnistetiedot

  • biotunnisteet.

4.12.4 Tunnistetieto

Tunnistevertailutieto on henkilön hallussa oleva tieto, jota vertaamalla tunnista­jan hallussa oleviin vertailutietoihin voidaan varmistua henkilön aitoudesta.

Yleisimmin käytetävä tunnistevertailutieto on henkilökohtainen salasana (Personal Identification Code, PIN). Salasanan heikkous on sen tietoluonne; salasana voidaan siepata tai se voidaan kopioida. Henkilö ei voi olla varma siitä, että hänen henkilökohtainen salasanansa ei ole joutunut muiden tietoon, jol­loin tiedon rinnakkainen kaksoiskäyttö on mahdollista.

4.12.5 Biotunnisteet

Biotunniste sisältää henkilön yksilöiviä ominaisuuksia. Yleisin on henkilön kasvovalokuva. Biotunnisteen vahvuus on siinä, että se liittää henkilön vah­vasti biotunnisteen sisältävään valtuustietoon.

Biotunnisteiden ongelmana on kopioitavuus ja varsin suuret tunnistus­virheet; henkilöä ei joko voida tunnistaa tai tunnistetaan liian vähäisellä var­muudella.

4.12.6 Tunnistevälineet

Tunnistevälineitä ovat henkilötunnistekortit ja kulkukortit. Henkilötunnistekortin keskeiset turvaominaisuudet ovat aitoustodisteet ja vertailutiedot, joista yleisemmin käytetään kasvokuvaa. Vertailutiedolla tunnisteväline lii­tetään henkilöön ja aitoustodisteella varmistutaan tunnistevälineen myöntä­jästä ja siten pääsyvaltuutuksesta.

Tunnistevälineisiin voidaan liittää lisäksi tietoja pääsyoikeusprofiilista, esi­merkiksi tilaryhmistä, joihin henkilöllä on oikeus päästä.

Tunnistevälineen heikkous on sen joutuminen väärän henkilön haltuun.

Tunnistevälineen turvallisuusominaisuudet ovat aitoustodiste ja vertailu­tieto sekä mahdolliset muut tiedot, kuten henkilön yleisvaltuutuksen ilmaiseva henkilöryhmä.

4.12.7 Turvallisen pääsynvalvonnan toteuttaminen esimerkin valossa

Matkustusasiakirjojen aitouden, henkilön tunnistamisen ja hänellä olevien valtuuksien, mm. kansalaisuuden todentamiseksi on otettu käyttöön rfid-tun­nisteen ja biometrisiä tunnisteita sisältävä sirupassi. Passi on fyysinen doku­mentti, johon on tallennettu digitaalisessa muodossa tietoja passin haltijasta. Passin lukutapahtuma edellyttää kolmea erillistä vaihetta, joilla varmistetaan käsittelytapahtuman turvallisuus.

Kuvatussa käsittelytapahtumassa toteutuvat kaikki turvallisen pääsynval­vonnan vaatimukset: tunnisteen aitouden toteaminen, henkilön tunnistami­nen ja valtuuksien toteaminen. Passin myöntämismenettelyn eli valtuutuksen turvallisuuteen sirupassi ei tuo lisäarvoa. Valtuutuksen turvallisuus toteutetaan viranomaisten välisen luottamusmekanismin avulla.

Peruspääsynvalvontavaiheessa optisella kuvalukijalla luetaan passin tietosi­vulla olevaa koneluettavaa aluetta. Tässä vaiheessa passin on oltava aukaistuna.

Fyysisen dokumentin aitouden varmistamiseksi lukijalaite luo istuntoavai­men edellä saatujen tietojen ja generoidun satunnaisluvun avulla. Istuntoavainta käytetään passin myöntäneen viranomaisen antaman digitaalisen varmenteen tarkistamiseen (passiivinen todentaminen) ja salatun yhteyden muodostami­seen. Varmenteen aitouden tarkistamisen jälkeen passin sisältämät henkilötie­dot luetaan koneellisesti passista salattua tiedonsiirtoyhteyttä käyttäen. Tiedot tarkistetaan julkisen avaimen menetelmää käyttäen (PKI) siten, että lukija lähet­tää haasteen, johon passi vastaa lähettämällä allekirjoitetun ja salatun tiedoston (dokument security object). Tunnistetietoja vertaamalla selviää, ovatko passin tietosivu ja sirun sisältämät tiedot yhteneväiset. Aktiivinen todentaminen estää passin väärentämisen kopioimalla tietoja.

Tarkastusvaiheessa lukija ja passi muodostavat vahvan istuntoavaimen, jolla salataan kasvokuva ja siirretään se salatun yhteyden kautta lukijalait­teelle. Salaus puretaan lukijalaitteessa ja sitä verrataan passin haltijasta otettuun kuvaan. Maahantulotarkastusta hoitava henkilö voi lisäksi itse verrata kuvaa passin tietosivuun ja passin haltijaan. Kasvokuvan tarkistuksen jälkeen lukija tekee haaste-vaste -menetelmällä tarkistuksen ja vasta sen onnistuttua passi luovuttaa biometrisiä tietoja lukijalaitteelle.

4.12.8 Henkilöstön fyysisen pääsyn hallinta

Yleisimmin käytetty ja usein myös tehokkain tapa rajoittaa pääsyä tietoihin on valvoa henkilöiden fyysistä pääsyä tiloihin, joissa käsitellään tietoa tai tie­tojärjestelmiä.

Pääsyn hallinnan toteuttaminen EU:n määräyksen mukaiseen standardoi­tuun malliin on esitetty liitteessä 5.

Vahti- ylläpito08.10.2009 / 11:46:57
Tulosta