Tietoaineistojen luokittelu

Julkisuuslaki asettaa viranomaiselle velvoitteet hallita käytössään olevia tietovarantoja hyvän tiedonhallintatavan mukaisesti. Tietovarantojen hallinnan apuna käytetään mm. arkistonmuodostussuunnitelmaa ja tarvittavia rekistereitä ja luetteloja. Tietoaineistojen saatavuutta ja käytettävyyttä sekä eheyttä ja luottamuksellisuutta hallitaan luokittelemalla aineisto eri luokkiin tiedolle asetettujen vaatimusten pohjalta.

Luokittelun piiriin kuuluvat asiakirjat ja luokittelun perusteet

Tietoaineistojen käsittelyä ohjataan suojaustasojen (TTA 9 §) avulla. Luokittelun piiriin otetaan ensisijaisesti salassa pidettävät asiakirjat. Viranomaisen asiakirja on pidettävä salassa, jos se julkisuuslaissa tai muussa laissa on säädetty salassa pidettäväksi tai jos se sisältää tietoja, joista on lailla säädetty vaitiolovelvollisuus. Tuomioistuimet voivat myös lain nojalla määrätä asiakirjan salassa pidettäväksi.

Kaikkia salassa pidettäviä asiakirjoja ei ole tarpeen eikä tietoturvallisuusasetuksen mukaan mahdollistakaan luokitella suojaustasoihin. Luokittelu on mahdollista vain, jos tietoturvallisuusasetuksen 9 §:n 1 momentissa määritellyt vaikutukset voivat syntyä tiedon oikeudettomasta paljastamisesta. Se, että asiakirja on säädetty salassa pidettäväksi, ei vielä yksistään määritä sitä, mihin suojaustasoon asiakirja tulisi osoittaa kuuluvaksi. Kukin tietoaineisto ja sen paljastumisesta aiheutuvat seuraukset on arvioitava konkreettisesti ja ottaen huomioon suojattava etu kokonaisuutena.

Tietoturvallisuusasetuksen 9 §:n 2 momentissa on määritelty ne muut asiakirjat, jotka voidaan luokitella suojaustasoa IV edellyttäväksi asiakirjaksi. Tällaisia ovat sellaiset asiakirjat ja niihin sisältyvät tiedot, joiden luovuttaminen on viranomaisen harkinnassa (esim. harkinnanvaraisesti julkiset asiakirjat; julkisuuslaki 9 § 2 mom.) tai joita saadaan lain mukaan luovuttaa vain määrättyyn tarkoitukseen (esim. henkilörekisterit, julkisuuslaki 16 § 3 mom.).

Luokitusta ei saa ulottaa sellaisiin asiakirjoihin tai asiakirjan osiin, joissa käsittelyvaatimusten noudattaminen ei ole suojattavan edun vuoksi tarpeen. Luokittelu voidaankin tehdä siten, että tietoturvallisuutta koskevat vaatimukset kohdistetaan vain sellaisiin asiakirjoihin tai asiakirjan käsittelyvaiheisiin, joissa erityistoimenpiteet ovat suojattavan edun vuoksi tarpeen (tietoturvallisuusasetus 8 § 1 mom.).

Viranomainen ohjeistaa asiakirjojen luokittelun omassa toimintaympäristössään.

Asiakirjan allekirjoittaja tai työjärjestyksessä erikseen määrätty henkilö päättää luokitusmerkinnän tekemisestä asiakirjaan. Luokitus kertoo laatijan ja allekirjoittajan käsityksen siitä, millä tavalla asiakirja on suojattava.

On huomattava, ettei asiakirjan sisältämän salassa pidettävän tiedon paljastaminen sivullisille ole sallittua, vaikka asiakirjaan ei olisi merkitty suojaustasoa. Luokitusmerkintä saattaa puuttua esim. sellaisissa tapauksissa, joissa salassa pidettävä tieto käsittää laajassa asiakirjassa tai tietokokonaisuudessa vain pienen osan (esim. nimen tai luvun) tai kun esim. jokin asiakirjan liite on salassa pidettävä, vaikka asiakirja muutoin on julkinen. Luokitusmerkintä voi puuttua myös sen vuoksi, että salassa pidettävän asiakirjan paljastumisesta ei arvioida aiheutuvan tietoturvallisuusasetuksen 9 §:n 1 momentissa säädettyjä seurauksia.

Luokitusmerkintä ei vapauta tekemästä asiakirjasta julkisuuslain mukaista arviointia – luokitusmerkintä ei sellaisenaan synnytä salassapitovelvollisuutta suhteessa asiakirjaa lain mukaan pyytävään. Asiakirja voi olla salassa pidettävä vain julkisuuslain tai muun lain nojalla.

Sellaiseen salassa pidettävään asiakirjaan, jonka tietojen oikeudeton paljastuminen voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muille yleisille eduille julkisuuslain 24 §:n 1 momentin 2, 7 – 10 kohdissa tarkoitetulla tavalla, voidaan tehdä turvallisuusluokitusmerkintä (TTA 11 §).

Luokiteltavaan kansallisessa käytössä olevaan asiakirjaan tehdään vain suojaustasoa koskeva merkintä. Turvallisuusluokitusmerkintää ei saa käyttää muissa kuin tietoturvallisuusasetuksen 11 §:n 1 momentissa säädetyissä tapauksissa, jollei kansainvälisistä tietoturvallisuusvelvoitteista muuta johdu tai asiakirja ei muutoin liity kansainväliseen toimintaan (11 § 3 momentti).

Koska ilmaisu "LUOTTAMUKSELLINEN" on tietoturvallisuusasetuksessa tarkoitettu turvallisuusluokitusmerkintä, asiakirjaan ei ole lainmukaista tehdä tätä vastaavaa merkintää muulloin, kuin kysymyksen todella ollessa kyseiseen suojaustasoon kuuluvasta asiakirjasta.

Salassapitomerkinnät

Viranomaisen on tehtävä salassapitomerkintä asiakirjaan, jonka se antaa asianosaiselle ja joka on salassa pidettävä toisen tai yleisen edun vuoksi (JulkL 25 §). Merkintä voidaan tehdä muihinkin salassa pidettäviin asiakirjoihin. Suositeltavaa on, että merkintä tehdään myös annettaessa salassa pidettävä asiakirja toiselle viranomaiselle tai sille, joka viranomaisen toimeksiannon perusteella käsittelee salassa pidettäviä tietoja.

Tietojärjestelmien yhteydessä salassapitomerkinnät voidaan toteuttaa erilaisin menetelmin. Asianhallinnan metatietomäärityksen (SÄHKE2) mukaan salassapitoa koskevat metatiedot tulevat oletusarvoisina arkistonmuodostussuunnitelmasta. Tällöin salassapitomerkinnät ja niiden elinkaaret, kuten salassapidon päättyminen, voidaan kuvata metatieto-osuuksissa. Tieto salassapidon luonteesta ja tasosta tulee käydä ilmi käyttäjälle kuvaruudun näytöstä erilaisissa käsittelyvaiheissa. Käyttäjän tulee hallita riittävän hyvin käyttämänsä sovelluksen ominaisuudet, jotta pystyy tunnistamaan salassapitoa tai muita rajoituksia edellyttävän tiedon muusta tietovarannosta.

Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Salassapitovelvollisuus ilmaistaan joko osoittamalla ne osat asiakirjasta, jotka ovat salassa pidettäviä (esim. liitteen jakso 1.2.) tai ilmaisemalla, minkälaiset tiedot ovat salassa pidettäviä (esim. hakijan terveydentilaa koskevat tiedot).

Jos salassapito perustuu säännökseen, jossa on vahinkoedellytyslauseke (vähäinen vahinko, toimintaa vaarantava, loukkaa merkittävästi, vaarantaa keskeisiä tiettyjä etuja) merkintä voidaan tehdä kuitenkin niin, että siitä ilmenee vain se säännös, johon salassapito perustuu.

Vahingon edellytyslausekkeella tarkoitetaan salassapitosäännöstä, jossa salassapito on riippuvainen tiedon paljastumisesta asiattomalle taholle ja siitä aiheutuvista vahingoista organisaatiolle (esim. julkisuuslain 24 §:n 1 momentin 1, 2, 3 ja 6 – 15 kohdat). Katso tarkempia tietoja oikeusministeriön kotisivulta (www.om.fi, Perussäännökset, Julkisuuslaki, Oikeusministeriön 23.9.2005 ministeriöille julkisuuslainsäädännön täytäntöönpanosta ja osittaistarkistuksesta lähettämä kirje liitteineen).

Jos salassapito päättyy tiettynä hetkenä tai tietyn tapahtuman johdosta, tästä voidaan tehdä merkintä salassapitoa osoittavan leiman alapuolelle esim. käsin kirjaamalla sekä perusteluineen ellei tätä mahdollisuutta ole teknisessä ratkaisussa (metatieto) huomioitu etukäteen.

Tiedon salassa pitäminen lakkaa, kun asiakirjan antamisesta ei aiheudu salassapidon edellytyksenä olevia vaikutuksia tai kun julkisuuslain 31 §:ssä säädetty salassapitoaika on kulunut umpeen.

Suojaustasot ja niitä koskevat merkinnät

Viranomaisten luokiteltujen asiakirjojen käsittelyä ohjataan suojaustasojen (ST) avulla.

Suojaustasot ovat:

  • suojaustaso I (ST I), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa erityisen suurta vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille
  • suojaustaso II (ST II), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa merkittävää vahinkoa salassapitosäännöksessä tarkoitetuille yleisille eduille
  • suojaustaso III (ST III), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa vahinkoa salassapitosäännöksessä tarkoitetulle yleisille tai yksityisille eduille ja oikeuksille
  • suojaustaso IV (ST IV), jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa haittaa salassapitosäännöksessä tarkoitetuille yleisille tai yksityisille eduille tai, jos kysymys on tietoturvallisuusasetuksen 9 §:n 2 momentissa tarkoitetuista asiakirjoista, jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä.

 

Suosituksena on, että luokittelua käytetään vain salassa pidettäviin asiakirjoihin. Siten esim. henkilörekisteritiedot luokitellaan vain, jos henkilörekisterin tiedot ovat joko kokonaan tai joiltakin osin salassa pidettäviä tai jos henkilörekisteriin talletetaan henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia tietoja.

Pääsääntönä on, että salassa pidettävään asiakirjaan tehdään suojaustasoa koskeva merkintä (leima). Jos asiakirjaan voidaan tehdä turvallisuusluokitusmerkintä, sillä voidaan korvata suojaustasomerkintä (tietoturvallisuusasetus 11 § 1 mom.). Käytettävät merkinnät (leimat) on esitetty liitteessä 2.

Luokitusmerkintä voidaan jättää tekemättä, jos kaikki asiakirjaa käsittelevät ovat tietoisia asiakirjan salassapidosta ja sen käsittelyssä noudatettavista menettelytavoista. Esimerkiksi tietojärjestelmissä, joissa erikseen valtuutetut henkilöt käsittelevät pelkästään henkilörekisteriin kuuluvia henkilötietoja, ei edellytetä liitteessä 1 mainittujen merkintöjen käyttämistä normaaleissa käsittelytilanteissa. Tietoja käsittelevien tulee kuitenkin ehdottomasti tunnistaa näiden asiakirjojen ja tietojen käsittelyyn sisältyvät käyttörajoitukset.

Asiakirjaan tehtävää luokitusmerkintää ei suositella tehtäväksi myöskään silloin, kun salassapitovelvollisuus ja siitä johtuvat käsittelyvaatimukset ovat voimassa vain suhteellisen lyhyen ajan tai silloin, kun asiakirjassa on vain joitakin salassapitovelvollisuuden piiriin kuuluvia tietoja ja joissa kaikki asiakirjaa käsittelevät ovat tietoisia sen luonteesta. Näissä tapauksissa on asianmukaisempaa, että salassapitoa ja käsittelyvaatimuksia koskevat tiedot merkitään erilliseen asiakirjan yhteydessä säilytettävään asiakirjaan (tietoturvallisuusasetus 10 § 2 mom.).

Suojaustaso tulee ilmaista käyttäjälle kyseessä olevaa luokkaa ilmaisevalla merkinnällä.

Viranomaisen asiakirjaa ei saa pitää salassa, kun salassapidolle laissa säädetty tai lain nojalla määrätty aika on kulunut. Tällöin poistuvat myös perusteet luokitukselle.

Tiedon salassa pitäminen lakkaa kun asiakirjan laatimisesta on kulunut laissa säädetty tai sen nojalla määrätty aika. Mikäli salassa pidettävä tieto on sellainen, että tarve salassa pitämiseen määrätyn ajan kuluttua lakkaa, tulee tuo määräaika asiakirjan laatijan tai haltijan toimesta ilmoittaa asiakirjassa tai erillisenä kirjallisena tai sähköisenä tietona. Mikäli asiakirjassa on luokitusmerkintä, on tarkoituksenmukaista merkitä salassa pidon lakkaaminen luokitusmerkinnän yhteyteen.

Sellainen viranomaisen hallussa oleva asiakirja, johon sisältyviä tietoja saadaan käyttää vain tiettyyn tarkoitukseen, voidaan tietoturvallisuusasetuksen mukaisten edellytysten täyttyessä luokitella.

Tietoaineiston ryhmittely suojaustasoihin

Salassa pidettävä tietoaineisto sijoitetaan tiedon merkityksen ja sen paljastumisen seurausten mukaan määräytyvään suojaustasoon, jos tietoturvallisuusasetuksen 9 §:n 1 momentissa säädetyt edellytykset täyttyvät. Oikean luokan määritteleminen on tehtävä huolella. Suojaustasovaatimusta ei saa ulottaa sellaisiin tietoaineistojen osiin, joissa käsittelyvaatimusten noudattaminen ei suojattavan edun vuoksi ole tarpeen (Tietoturvallisuusasetus 8 § 1 mom.). On myös syytä huomata, että kaikkia salassa pidettäviä asiakirjoja ei välttämättä ole tarpeen eikä sallittuakaan luokitella.

Jo asiakirjaa laadittaessa tulee ottaa huomioon asiakirjan tai tiedon käsittelytarve. Asiakirjat tulee laatia siten, että niiden käsittely tukee tiedon saatavuutta, tiedon eheyttä sekä salassapidon ja käyttörajoitusten toteuttamista.

Asiakirjojen oletusarvoinen suojaustaso ja tarve käyttää turvallisuusluokitusmerkintää voidaan määritellä arkistonmuodostussuunnitelmissa. Kunkin asiakirjan luokitustarve ja luokka tulee kuitenkin aina arvioida erikseen sekä tehdä tätä vastaavien tietojen merkitsemisestä asiakirjaan tai sen metatietomäärittelyihin.

Yleisenä periaatteena on pitää julkinen ja salassa pidettävä tieto erillään. Tästä syystä asiakirjojen laadinnassa tulee kiinnittää huomio siihen, mikä osuus voidaan toteuttaa julkisen asiakirja-aineiston avulla ja mikä osuus edellyttää erillisenä käsiteltävissä olevan (hyvä julkisuus- ja salassapitorakenne) asiakirjan laadintaa.

Eri suojaustasoihin kuuluva tieto tulisi pääsääntöisesti sijoittaa eri asiakirjoihin, jolloin mahdollistetaan asiakirjojen käytettävyys ja hallinta elinkaaren aikana.

Asiakirjojen laadinnassa tulee ottaa huomioon asiakirjan sisältämän tiedon tarvitsijoiden laajuus. Asiakirjat, joissa jakelu kattaa laajan kohdejoukon, tulee kirjoittaa siten, että niitä voidaan käsitellä suojaustasolla ST IV tai ST III. Niissä voidaan viitata korkeamman suojaustason asiakirjoihin. Mitä aremmasta tiedosta on kysymys, sitä korkeampia turvajärjestelyjä edellytetään koko käsittelyketjulta.

Sellaiset viranomaisen asiakirjat, jotka vaativat ehkä laajaakin käsittelyä ja joiden paljastumisesta aiheutuva haitta tai luottamuksen menettäminen on vähäistä, luokitellaan suojaustasoon IV.

Edellä mainitut jakelun laajuuteen liittyvät rajoitukset liittyvät inhimillisen riskin hallintaan. Asiakirjat, joiden salassapitoaika on esimerkiksi 25 vuotta, edellyttävät hallittua tiedon käsittelyä koko salassapitoajan. Mitä laajemmalle joukolle tietoa jaetaan, sitä suurempi riski on salassapidon vaarantumiseen. On myös otettava huomioon, että suojaustasoihin I ja II kuuluvat asiakirjojen käsittely on oltava jäljitettävissä asiakirjan koko elinkaaren ajan (käsittelyloki, vast.).

Vaikka valmisteilla oleva asiakirja ei sisällä salassa pidettäviä tietoja, se voidaan luokitella suojaustasoon IV, jos tiedon oikeudeton paljastuminen voi aiheuttaa haittaa yleiselle tai yksityiselle edulle tai heikentää viranomaisen toimintaedellytyksiä. Viranomaisen toimintaedellytysten ei yleensä voida katsoa vaarantuvan, kun kysymys on yleisesti merkittävistä valmisteluasioista, minkä vuoksi luokituksen käytölle on varsin suppeat rajat. Joka tapauksessa luokitus ei miltään osin saa vaikuttaa julkisuuslaissa viranomaiselle säädettyjen valmistelun julkisuutta koskevien velvoitteiden toteuttamiseen (JulkL 19 §).

Eräissä tapauksissa on syytä korostaa, mikä osuus asiakirjasta sisältää salassa pidettävää tietoa tai muuta luokiteltua tietoa. Tämä korostaminen voidaan toteuttaa esimerkiksi kappale- tai lukukohtaisesti. Luokiteltua tietoa sisältävän kappaleen alkuun voidaan merkitä sulkuihin suojaustasoa osoittavan luokkaa koskeva merkintä osoittamaan kappaleeseen sisältyvän informaation käsittelyn tasoa. Tämä merkintätapa auttaa myöhemmin asiakirjojen käsittelijöitä tunnistamaan erityiskäsittelyä edellyttävät osuudet asiakirjassa ja arvioimaan tarpeen luokittelun jatkumiselle. Tämä helpottaa myös niissä tilanteissa, joissa uusien asiakirjojen laadinnassa käytetään apuna olemassa olevaa tietovarantoa.

Luokiteltu aineisto on merkittävä suojaustasojen avulla, kun sitä luovutetaan edelleen. Samalla on varmistuttava, että luovutus on lain mukaan mahdollinen ja että vastaanottaja täyttää tietoaineiston käsittelyltä vaadittavat edellytykset. Luokiteltava aineisto suositellaan merkittäväksi liitteessä 2 mainituilla leimoilla ja merkinnöillä aina koko asiakirjan elinkaaren ajan aina siihen asti, kun se on salassa pidettävä.

Turvallisuusluokitusmerkinnät

Viranomaisten asiakirjoihin voidaan tehdä turvallisuusluokitusmerkintä tietoturvallisuusasetuksen 12 §:ssä osoitetuissa tapauksissa. Turvallisuusluokitusmerkintöjä on neljää eri tasoa osoittavaa. Turvallisuusluokiteltua aineistoa käsitellään kohdassa 7.3 mainituille vastaaville suojaustasoille annettujen vaatimusten mukaisesti.

Turvallisuusluokitusmerkinnät ovat:

  • suojaustaso I: ERITTÄIN SALAINEN, jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa erityisen suurta vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muille julkisuuslain 24 § 1 mom. 2,7 – 10 kohdassa tarkoitetuille yleisille eduille
  • suojaustaso II: SALAINEN, jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa merkittävää vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muille julkisuuslain 24 § 1 mom. 2,7 – 10 kohdassa tarkoitetuille yleisille eduille
  • suojaustaso III: LUOTTAMUKSELLINEN, jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa vahinkoa kansainvälisille suhteille, valtion turvallisuudelle, maanpuolustukselle tai muille julkisuuslain 24 § 1 mom. 2,7 – 10 kohdassa tarkoitetuille yleisille eduille
  • suojaustaso IV: KÄYTTÖ RAJOITETTU, jos salassa pidettävän tiedon oikeudeton paljastuminen voi aiheuttaa haittaa julkisuuslain 24 § 1 mom. 2,7 – 10 kohdassa tarkoitetuille yleisille eduille.

 

Huom! Turvallisuusluokiteltavien asiakirjojen yhteydessä käytetään usein ilmaisua turvallisuusluokka. Viranomainen voi omassa toiminnassaan käyttää sopivia organisaatiokohtaisia ilmaisuja ja lyhenteitä. Myös kansainvälisessä turvallisuusluokitellun tietoaineiston yhteydessä käytetään ilmaisuja turvallisuusluokka I – IV, joihin kuuluvaa aineistoa suojataan tässä ohjeessa mainittujen suojaustasojen I – IV mukaisesti.

Suojaustasojen ja turvallisuusluokittelunimikkeiden vastaavuus on esitetty oheisessa taulukossa.

SUOJAUSTASOTURVALLISUUSLUOKITTELUN NIMIKELYHENNE
Suojaustaso IERITTÄIN SALAINENERSAL (E)
Suojaustaso IISALAINENSAL (S)
Suojaustaso IIILUOTTAMUKSELLINENLUOT (L)
Suojaustaso IVKÄYTTÖ RAJOITETTURAJ (R)

Lyhenteitä voidaan käyttää tietojärjestelmissä ja asiakirjoissa soveltuvin osin.

Ilmaistaessa kunkin suojaustason mukainen turvallisuusluokitus kappalekohtaisesti, merkitään kappaleen alkuun esim. sulkuja käyttäen kyseinen luokitusmerkintä. Esimerkiksi (S) kappaleen alussa viittaa kyseisen kappaleen sisältävän SALAINEN luokan tietoa. Vastaavasti metatietojen yhteydessä suositellaan käytettäväksi pidempää lyhennettä, kuten SAL. Jos tietojärjestelmän ominaisuudet asettavat rajoituksia lyhenteen pituudelle, voidaan käyttää lyhyempiä muotoja kuten esimerkiksi ERS ja LUO lyhenteiden ERSAL ja LUOT sijasta.

Suojaustasoihin I – III kuuluva tieto tulee esittää käyttäjälle sähköisissä näytöissä ko luokkaa ilmaisevalla merkinnällä.

Turvallisuusluokitusmerkinnällä ERITTÄIN SALAINEN merkittyjen asiakirjojen jakelu tulisi tarkkaan harkita tarveperustaisesti, ja huomioiden salassapitoaikavaatimus (käsittelyoikeus). Muutoinkin I suojaustasoon kuuluvan asiakirjan jakelusta päättää aina laatija ja allekirjoittaja. Turvallisuusluokitusmerkinnällä ERITTÄIN SALAINEN varustetusta asiakirjasta ei saa ottaa kopioita, eikä jakaa eteenpäin ilman asiakirjan laatijan tai allekirjoittajan kirjallista lupaa.

Asiakirjojen, joissa käytetään turvallisuusluokitusmerkintää SALAINEN, jakelu tulisi rajoittaa tarveperustaisesti huomioiden salassapitoaikavaatimus.

Kansainvälisten aineistojen turvallisuusluokittelu

Kansainvälisiltä järjestöiltä ja toisilta valtioilta tulleissa asiakirjoissa voi olla järjestöjen ja valtioiden omia luokitusmerkintöjä. Niihin tehdään Suomen vastaavaa turvallisuusluokitusta koskeva merkintä, jos turvallisuusluokiteltujen tietojen molemminpuolisesta suojelusta on tehty Suomea sitova sopimus tai asiakirja muutoin kuuluu kansainvälisistä tietoturvallisuusvelvoitteista annetun lain soveltamisalan piiriin (esim. EU:n komission tai neuvoston turvallisuusluokiteltu asiakirja).

Jos vieraan valtion tai kansainvälisen järjestön kanssa ei ole sitovaa sopimusta tai asiakirjaa turvallisuusluokkia koskevista järjestelyistä, tulee viranomaisen päättää merkinnän tekemisestä Suomen lainsäädännön mukaan (JulkL 24.1 § 2,7,-10 k).

Alla olevasta taulukosta ilmenee eräiden kansainvälisten järjestöjen ja Suomen turvallisuusluokituksien vastaavuus.

KohdeSuojaustaso ISuojaustaso IISuojaustaso IIISuojaustaso IV
SuomiERITTÄIN SALAINENSALAINENLUOTTAMUKSELLINENKÄYTTÖ RAJOITETTU
EUTRÉS SECRET UE/ EU TOP SECRETSECRET UE / EU SECRETCONFIDENTIEL UE / EU CONFIDENTIALRESTREINT UE / EU RESTRICTED
NATOCOSMIC TOP SECRETNATO SECRETNATO CONFIDENTIALNATO RESTRICTED

Huom.

EU:n sisäiset asiakirjat, jotka on merkitty "LIMITE" merkinnällä, tarkoittavat näiden jakelun rajoittamista. Kyseessä ei ole turvallisuusluokitusta ilmaiseva merkintä. Merkitsemällä asiakirjan tällä merkinnällä on lähettäjä tarkoittanut, että tätä ei jaeta julkisuuteen. Sama koskee NATO UNCLASSIFIED asiakirjoja. Kummankin asiakirjaryhmän luokitus Suomessa on arvioitava tapauskohtaisesti kansallisen lainsäädännön mukaan.

Henkilötietojen luokitus ja merkinnät

Henkilötietojen käsittelyä ja henkilörekistereitä ohjaavat henkilötietolaki, julkisuuslaki ja useat eri henkilötietojen käsittelyä koskevat erityislait, jotka asettavat erityisvaatimuksia mm. arkaluonteisten tietojen käsittelylle ja tietojen suojaamiselle. Käyttötarkoitussidonnaisuus ja luovutusperusteet asettavat omia vaatimuksiaan henkilötietojen käsittelylle.

Mikäli asiakirjan muusta sisällöstä ei muuta johdu, henkilötietoja sisältävien asiakirjojen suojaustaso voi olla joko ST III tai ST IV tietoturvallisuusasetuksen 9 §:n 1 momentin perusteella tehdyn vaikutusarvioinnin mukaan.

Vaikka yksityisyyden suojan vuoksi tiettyjä asiakirjoja koskisikin ehdoton salassapitovelvoite, kaikki salassa pidettävät henkilöä koskevat asiakirjat tai niiden tiedot eivät välttämättä kuulu suojaustasoon III. Salassapidon perusteena yksityisyyden suojaa koskevia salassapitosäännöksiä säädettäessä on ollut yleisellä tasolla tehty arvio tietojen julkisuudesta johtuvasta yksityisyyden suojan vaarantumisen riskistä (HE 30/1998 vp., s. 88). Suojaustasojen mukaisessa luokittelussa sen sijaan on kysymys sen arvioimisesta, mitkä salassapitovelvollisuuden piiriin kuuluvista tiedoista ovat sellaisia, että ne konkreettisesti voivat vahingoittaa yksityisyyden suojaa oikeusjärjestyksen suojaamana oikeushyvänä.

Henkilötietoja ei tarvitse erikseen merkitä leimojen avulla, jos niitä käsittelevät vain riittävän koulutuksen saaneet, käyttövaltuudet omaavat henkilöt.

Henkilötietojen käsittelyssä on toteutettava tarpeellisuus- ja virheettömyysvaatimukset sekä suojaamis- ja huolellisuusvelvoitteet. Tätä varten on oltava toimiva käyttövaltuus-hallinta sekä seuranta- ja valvontajärjestelmä.

Arkaluonteisten tai biometristen henkilörekisteriin talletettujen henkilötietojen käsittelytapahtumien tulee kirjautua lokiin (TTA 20 § 1 mom.).

Henkilötunnuksen käytössä on otettava huomioon HetiL 9 § ja HetiL 13 §:t. Henkilötunnuksen sisältäviä asiakirjoja on käsiteltävä suojaustason IV mukaisesti, ellei asiakirjan sisällön perusteella asiakirjaa kuulu käsitellä korkeamman suojaustason vaatimusten mukaisesti.

Laajojen tietovarantojen luokittelua koskevat suositukset

Laajoilla tietovarannoilla tarkoitetaan tässä yhteydessä yhteen tai useampaan paikkaan talletettuja tietoaineistoja, joihin käyttäjä pääsee kerralla käsiksi. Tieto on kerätty useista eri lähteistä ja tietoja yhdistelemällä muodostetaan uutta tietoa eri käyttötarkoituksiin.

Vaikka tietovarantoon sisältyvät yksittäiset asiakirjat olisivat julkisia tai alhaiseen suojaustasoon luokiteltavia, saattaa tietovaranto muodostaa kokonaisuuden, jonka suojaustarve on siihen sisältyviä yksittäisiä asiakirjoja korkeampi. Esimerkiksi tiedon paljastuminen henkilön omistamista aseista saattaa aiheuttaa haittaa yksityiselle edulle, mutta koko maan aserekisterin tiedot voivat aiheuttaa vahinkoa yleiselle turvallisuudelle.

Kunkin tietovarannon suojaustasovaatimus määräytyy sen sisältämien yksittäisten asiakirjojen suojaustasovaatimusten pohjalta. Tietoturvallisuusasetus säätää vähimmäistason luokiteltavien asiakirjojen tietoturvavaatimukselle. Asetus ei sen 7 §:n 2 momentin mukaan estä viranomaista soveltamasta omassa toiminnassaan tietoturvallisuusasetuksen luvussa 4 säädettyä korkeampia tietoturvavaatimuksia. Onkin suositeltavaa, että viranomainen arvioi koko tietovarannon suojaustarpeen sekä käyttää tarvittaessa yksittäisten asiakirjojen arviointia laajempaa vaikutusarviointia tietovarannon suojaustarpeesta ja soveltaa sen mukaisia tietoturvamenettelyitä.

Tarjottaessa käyttöoikeuksia erilaisiin tietovarantoihin, tulee aina kiinnittää erityistä huomiota käyttöoikeuksien määrittelyyn ja niiden valvontaan.

Kunkin tietojärjestelmän toteutuksessa ja toimintojen määrittelyssä tulee ottaa huomioon, minkä suojaustason mukaisilla järjestelyillä kyseisiä asiakirjoja ja tietovarantoja voidaan käsitellä.

Laajoja tietovarantoja käsittelevät yleensä tietojenkäsittelyn ammattilaiset tai tehtyjen sopimusten nojalla tietojenkäsittelyä tai turvapalveluja tarjoavat yritykset. On tärkeää, että päätökset suojaustasoista ja noudatettavista menettelyistä sekä turvatoimien järjestelyistä tekevät eri henkilöt kuin tietovarantoja käsittelevät henkilöt.

Tietovarantojen käyttöoikeuksien määrittelyssä tulee varmistaa, ettei synny tilanteita, joissa käyttöoikeuden haltija pääsee käsiksi hänelle kuulumattomiin tietoihin.

Tietojärjestelmien ja toimintojen toteutuksessa tulee ottaa huomioon kaikki tiedon käsittelyvaiheet siten, että ne voidaan suorittaa riittävän suojaustason tarjoavassa ympäristössä.

Kaikissa tietovarannoissa voidaan käyttää käyttöoikeuden tarkistamismenettelyä riippumatta siitä, sisältääkö kyseinen tietovaranto salassa pidettävää tietoa tai ei. Julkinen ja salassa pidettävä tieto on pidettävä erillään teknisin (verkko, levytila, salaus, käyttäjän tunnistus) ja hallinnollisin keinoin (käyttöoikeudet, lokit, tunnistus). Tietojärjestelmien suunnittelussa ja käyttöoikeuksien hallinnassa tulee kiinnittää huomiota siihen, että viranomaisessa tietotyötä tekevät saavat käyttöönsä työtehtäviensä edellyttämät tiedot.

Tiedon eheydelle ja kiistämättömyydelle asetettavia vaatimuksia

Viranomaisten asiakirjoille ja niihin sisältyville tiedoille asetetaan tiedon merkityksen ja käytön vuoksi erilaisia tiedon eheyttä ja kiistämättömyyttä koskevia vaatimuksia. Tällaisia vaatimuksia sisältyy esimerkiksi kaikkeen rahaliikenteeseen ja niihin asiakirjoihin, joilta edellytetään viranomaisen allekirjoitusta. Näissä tilanteissa viranomaisen tulee varmistaa menettelyt, että annetut tiedot ovat muuttumattomia ja oikeita ja että alkuperäiset asiakirjat ovat todennettavissa.

Asiakirjan sähköisessä tallettamisessa ja siirtämisessä on käytettävissä erilaiset tiivistefunktiot ja sähköiset allekirjoitukset eheyden ja kiistämättömyyden varmistamiseksi.

Sähköisessä tiedonsiirrossa tulee toimivaltaisen viranomaisen toimenpitein varmistaa, että viranomaisen välittämät ja ylläpitämät tiedot siirretään niin turvallisesti, etteivät ulkopuoliset pääse niitä tahattomasti muuttamaan.

Viranomainen voi luokitella tietoaineistojaan eheysvaatimusten pohjalta. Esimerkiksi (1) virheettömyyttä edellyttävä tieto ja (2) muut tiedot.

Tiedon saatavuudelle ja käytettävyydelle asetettavia vaatimuksia

Viranomaisen tiedon käytettävyysvaatimukset riippuvat tiedon sisällöstä ja sen käyttötarpeista. Monet toimintaprosessit asettavat suuria vaatimuksia oikea-aikaisen ja oikean tiedon saatavuudelle. Julkisuuslaissa määritellään vaatimukset tiedon antamisesta sitä pyytävälle. Tiedon käytettävyysvaatimus nousee esille myös hyvän tiedonhallintatavan toteuttamistarpeesta. Käytettävyyteen sisältyy useita elementtejä. Käytettävyys riippuu esim. tietoverkon ominaisuuksista, varmentamisista, tietojärjestelmän käyttöliitynnän toteutuksesta, työaseman ominaisuuksista ja käyttäjän osaamisesta.

Eri asiakirjoilla on yleensä erilainen käyttötarve toiminnan kannalta. Jos toimintaprosessissa käsitellään korkeaa suojaustasoa ja korkeaa käytettävyyttä sisältäviä tietoja tai asiakirjoja, korostuvat tiedon käsittelyyn sisältyvät vaatimukset. Nämä vaatimukset on otettava huomioon tietojärjestelmien suunnittelusta alkaen. Tällaista tietoa sisältyy usein erilaisiin valvontajärjestelmien tuottamaan ja käsittelemään tietoon.

Julkisten asiakirjojen ja tietojen käsittelyssä on tarpeen kiinnittää erityistä huomiota tiedon käytettävyyden ja asiasta riippuen myös tiedon eheydelle asetettujen vaatimusten toteutumiseen. Käytettävyyden kannalta tämä tarkoittaa mm. sitä, että kyseiset tiedot ovat niitä työtehtävissään tarvitsevien käytettävissä mahdollisimman helposti, jopa siinä laajuudessa, että ne työtehtävien edellyttämällä tavalla ovat kiinteä osa työprosessia.

iedon kriittisyydellä tarkoitetaan niitä vaatimuksia, joita toiminnan toteuttaminen edellyttää. Kun jokin toiminta edellyttää tietyn tietovarannon välitöntä saatavuutta, on kysymys kriittisestä tiedosta. Esimerkkejä kriittisestä tiedosta:

  • projektikokous (tieto paikasta ja ajankohdasta sekä osallistumistarpeesta)
  • koulutustilaisuus (tieto kouluttajista, koulutustavoitteista ja opetusmateriaalista).

 

Tiedon saatavuutta voidaan tarkastella esim. prosessin näkökulmasta:

  • toiminnan toteuttamisen kannalta erittäin tärkeät asiakirjat ja tiedot
  • toiminnan toteuttamisen kannalta tärkeät asiakirjat ja tiedot
  • toimintaa tukevat asiakirjat
  • muut asiakirjat.

 

Usein toiminta edellyttää sekä julkista että salassa pidettävää tietoa. Toiminnasta vastaavan tulee tunnistaa toiminnan edellyttämä tieto. Suunniteltaessa ja kehitettäessä tietotyön edellyttämiä rakenteita tulee kiinnittää erityistä huomiota siihen, että toimintojen tarvitseman kriittisen tiedon saatavuus on turvattu ja varmennettu. Viranomaisen tulee etukäteen tunnistaa ja määrittää toiminnan edellyttämä kriittinen tieto.

Toni Aho29.10.2010 / 14:49:19
Tulosta