Liite 3

Liite 3. Esimerkki suojattavien resurssien luokituksesta, henkilöstöturvallisuusluokista ja niiden välisistä turvallisuussäännöistä

TIETOJÄRJESTELMIEN LUOKITUS

Tietojärjestelmiä tulee käsitellä ensisijaisesti niiden sisältämien tietojen kannalta. Valtiovarainministeriön VAHTI-ohjeessa 5/2004 on esitetty kes­keisten järjestelmien luokitukseksi

  • käytettävyys, eheys ja luottamuksellisuus (KEL) tärkeää (käytettävyys- ja
    salassapitotarve korkea), esimerkiksi reaaliaikaiset johtamisjärjestelmät

  • käytettävyys ja eheys (KE) tärkeää (käytettävyystarve korkea), esimerkiksi sääpalvelut ja julkiset rekisterit

  • luottamuksellisuus ja eheys (LE) tärkeää (salassapitotarve korkea), esimerkiksi rahoitusjärjestelmät ja varmenteiden tuotantojärjestelmät.

Näiden tekijöiden perusteella voidaan tietojärjestelmät luokitella salassa­pidon ja käytettävyyden perusteella viiteen luokkaan:

  • julkisia ja käytettävyydeltään ei-kriittisiä tietoja sisältävät järjestelmät (luokka 5)

  • käytettävyydeltään ja eheydeltään merkittäviä tietoja sisältävät järjestelmät (luokka 4)

  • luottamuksellisia tai käytettävyydeltään erittäin merkittäviä tietoja sisältävät järjestelmät (luokka 3)

  • salaisia käytettävyydeltään merkittäviä tietoja sisältävät järjestelmät (luokka 2)

  • salaisia ja käytettävyydeltään erittäin merkittäviä tietoja sisältävät järjestelmät (luokka 1).

TILATURVALLISUUSLUOKAT

Turvattava tilat, tilaryhmät ja alueet jaetaan viiteen luokkaan

  • yleiset tilat, tilaryhmät ja alueet (luokka 5, Y), esimerkiksi neuvotteluhuoneet

  • valvotut työtilat, tilaryhmät ja alueet (luokka 4, V), esimerkiksi työhuoneet

  • rajoitustilat ja tilaryhmät (luokka 3, R), esimerkiksi turvallisuusvalvomot

  • eristystilat ja tilaryhmät(luokka 2, E), esimerkiksi poikkeusolojen johtopaikat

  • erikoistilat ja tilaryhmät (luokka 1), esimerkiksi luokan 1 palvelintilat.

OMAISUUS JA MATERIAALILUOKAT

Turvattava omaisuus ja materiaali jaetaan turvallisuusominaisuuksien perus­teella viiteen luokkaan

  • yleismateriaali (ei erityisiä turvallisuusvaatimuksia), esimerkiksi toimistotavarat

  • työvälineet (luokka D), esimerkiksi pöytäpuhelimet

  • erittäin anastusherkkä omaisuus (luokka C), esimerkiksi käteinen raha

  • avainmateriaali ja -järjestelmät (luokka B), esimerkiksi salauslaitteet

  • erikoismateriaali ja -laitteet (luokka A), esimerkiksi laite, jossa II salassapitoluokan tietoja sisältävän tietojärjestelmän CA-salausavain.

HENKILÖSTÖTURVALLISUUSLUOKAT

Henkilöstöriskejä hallitaan rikosriskien osalta luokittelemalla henkilöstö nel­jään henkilöstöturvallisuusluokkaan (I – IV)

  • I luokka: henkilöt, joiden toiminta voi vakavasti vahingoittaa valtion turvallisuutta tai suhteita (JulkL § 24.1 kohdat 1,2,5 ja 8-11), julkista taloutta tai yksityistä taloudellista etua, tai erittäin merkittävästi muuta tietoturvallisuutta. Luokkaan kuuluu ainoastaan hyvin rajoitettu joukko ministeriöiden ja virastojen henkilökuntaa.

  • II luokka: henkilöt, joiden toiminta voi vaarantaa tai loukata merkittävästi valtion turvallisuutta tai suhteita (JulkL § 24.1 kohdat 1,2,5 ja 8-11), julkista taloutta tai yksityistä taloudellista etua, tai merkittävästi muuta tietoturvallisuutta. Luokkaan kuuluu rajoitettu joukko ministeriöiden ja virastojen henkilökuntaa tai palveluja tuottavan turvaluokitellun yrityksen henkilöstöä.

  • III luokka: henkilöt, joiden toiminta voi vaarantaa ministeriön tai viraston toimintaedellytyksiä. Luokkaan kuuluu pääosa ministeriön tai viraston henkilökunnasta ja pääosa turvaluokitellun yrityksen henkilöstöstä.

  • IV luokka: henkilöt, joiden toiminta voi haitata ministeriön tai viraston toimintaa, esimerkiksi pysyvän kulkuoikeuden saaneet huoltohenkilöt tai rekisteröidyt pysyväisvierailijat.

SÄÄNTÖMATRIISIN KÄYTTÖ

Luokitusjärjestelmä mahdollistaa henkilöstön ja resurssien välisten turvalli­suussääntöjen käytön.

Henkilöstöturvallisuusluokka määrää periaatteen, minkä turvaluokan tilaan, tietoon hänellä on oikeus päästä tai perehtyä, sekä minkä turvaluokan laitetta, järjestelmää tai omaisuutta hänellä on oikeus käsitellä. Lisäksi on huo­mioitava kokonaisjärjestelyjen käytettävyyden osalta henkilön rooli kriittisten järjestelmien avainhenkilönä.

Viraston henkilökuntaan turvaluokkaan IV kuuluvalla on oikeus päästä työtehtävissään viraston valvottuihin tiloihin ja saatettuna rajoitustiloihin ja isännöidä vieraita valvotuissa tiloissa. Hänellä on myös oikeus saada tietoonsa ja käsitellä työtehtäviinsä liittyen rajoitetun käytön tietoja (4. luokka) sekä tapauskohtaisesti asiaryhmittäin rajoitetusti luottamuksellisia tietoja (3. luokka). Työntekijällä on oikeus käsitellä työssään tarvittavia enintään D-luokkaan kuuluvia välineitä ja omaisuutta sekä julkisia tietoja ja käytettä­vyydeltään ei-kriittisiä tietoja sisältäviä järjestelmiä (luokka 5).

Viraston henkilökuntaan turvaluokkaan III kuuluvalla on oikeus päästä työtehtävissään viraston valvottuihin tiloihin ja rajoitustiloihin ja isännöidä vieraita valvotuissa tiloissa. Hänellä on myös oikeus saada tietoonsa ja käsitellä työtehtäviinsä liittyen luottamuksellisia tietoja (3. luokka) sekä tapauskohtai­sesti asiaryhmittäin raj oitetusti ja vähäisessä määrin salaisia tietoja (2. luokka). Työntekijällä on oikeus käsitellä työssään tarvittavia enintään C-luokkaan kuu­luvia välineitä ja omaisuutta sekä käytettävyydeltään ja eheydeltään merkittä­viä (luokka 4), tai luottamuksellisia tai käytettävyydeltään erittäin merkittäviä (luokka 3) tietoja sisältävät järjestelmiä.

Viraston henkilökuntaan turvaluokkaan II kuuluvalla on oikeus päästä työtehtävissään viraston rajoitustiloihin ja isännöidä vieraita sekä päästä työ­tehtävissään valvotusti eristys- ja erikoistiloihin. Hänellä on oikeus saada tie­toonsa ja käsitellä työtehtäviinsä liittyen salaisia tietoja (2. luokka) sekä rajoi­tetusti ja tapauskohtaisesti erittäin salaisia tietoja (1. luokka). Työntekijällä on oikeus käsitellä erikseen nimettävissä työtehtävissä B-luokkaan tarvittavia väli­neitä ja omaisuutta sekä salaisia käytettävyydeltään merkittäviä (luokka 2) ja salaisia ja käytettävyydeltään erittäin merkittäviä tietoja sisältäviä järjestelmiä (luokka 1). Erikoismateriaalin ja -laitteiden (A-luokka) osalta pääsy voidaan hyväksyä tapauskohtaisesti.

Viraston henkilökuntaan turvaluokkaan I kuuluvalla on oikeus saada tie­toonsa ja käsitellä työtehtäviinsä liittyen asiaryhmittäin rajaten kaikkia turva­luokiteltuja tietoja. Työntekijällä on oikeus käsitellä erikseen nimettävissä työ­tehtävissä A-luokkaan tarvittavia välineitä tai omaisuutta.

Turvaluokkaan IV kuuluvalla palveluntoimittajan työntekijällä (S-ryhmä) on oikeus päästä työtehtävissään viraston valvottuihin tiloihin ja isännöidä vie­raita valvotuissa tiloissa. Työntekijällä on oikeus käsitellä työssään tilapäisesti tarvittavia enintään D-luokkaan kuuluvia laitteita, omaisuutta ja sopimuksen mukaan 5. luokan järjestelmiä.

Turvaluokkaan III kuuluvalla palveluntoimittajan työntekijällä (S-ryhmä) on oikeus päästä työtehtävissään viraston valvottuihin tiloihin ja saatettuna rajoi­tustiloihin ja isännöidä vieraita valvotuissa tiloissa. Hänellä on myös oikeus saada tietoonsa ja käsitellä työtehtäviinsä liittyen tapauskohtaisesti asiaryhmittäin rajoi­tetusti luottamuksellisia (3. luokka) tietoja. Työntekijällä on oikeus käsitellä työs­sään tilapäisesti tarvittavia enintään C-luokkaan kuuluvia laitteita, omaisuutta ja valvotusti 3. luokan järjestelmiä.

Turvaluokkaan II kuuluvalla palveluntoimittajan työntekijällä (S-ryhmä) on oikeus päästä työtehtävissään viraston valvottuihin ja rajoitustiloihin ja saa­tettuna palvelusopimuksen mukaisiin E-luokan tiloihin ja valvoa vieraita rajoitustiloissa. Hänellä on myös oikeus saada tietoonsa ja käsitellä työtehtäviinsä liittyen asiaryhmittäin rajoitetusti luottamuksellisia (3. luokka) ja tapauskoh­taisesti asiaryhmittäin rajoitetusti salaisia (2. luokka) tietoja. Työntekijällä on oikeus käsitellä työssään sopimuksen mukaisesti tarvittavia enintään B-luok­kaan kuuluvia laitteita, omaisuutta sekä valvotusti 2. luokan järjestelmiä.

Muiden virastojen turvaluokkaan III kuuluvalla virkamiehellä (M-ryhmä) on lähtökohtaisesti oikeus päästä välttämättömissä virkatehtävissään viras­ton valvottuihin tiloihin ja saatettuna rajoitustiloihin. Muut pääsyoikeudet ja menettelyt sovitaan virastojen välisessä yhteistoimintamuistiossa.

Muiden virastojen turvaluokkaan II kuuluvalla virkamiehellä (M-ryhmä) on lähtökohtaisesti oikeus päästä välttämättömissä virkatehtävissään viras­ton valvottuihin tiloihin ja saatettuna E-luokan tiloihin poikkeustilanteissa. Muut pääsyoikeudet ja menettelyt sovitaan virastojen välisessä yhteistoiminta- muistiossa.

Pysyvän kulkuoikeuden saaneella turvaluokkaan IV nimetyllä henki­lollä (P-ryhmä) on oikeus päästä yleisiin tiloihin ja erikseen nimettyihin val­vottuihin tiloihin. Henkilöllä on oikeus käsitellä työssään enintään D-luok­kaan kuuluvia laitteita, omaisuutta ja sopimuksen mukaan julkisia 5. luokan järjestelmiä, esimerkiksi internetiin kytkettyjä laitteita. Henkilöiden on akkre­ditoiduttava ja rekisteröidyttävä, jonka yhteydessä heille voidaan valmistaa kuvallinen tunniste.

Käyntioikeuden saaneella vierailijalla (V-ryhmä) on oikeus päästä rajoi­tetusti yleisiin tiloihin ja saatettuna valvottuihin tiloihin. Vierailijoiden oikeu­desta käyttää internetiin kytkettyjä laitteita (5. luokka) on sovittava virastossa. Vieraalla tulee olla isäntä, jonka suosituksesta ja esittämästä tarpeesta hänet valtuutetaan.

 

Vahti- ylläpito08.10.2009 / 11:46:58
Tulosta