Toimitilojen tietoturva Toimitilakonseptikoulutus Tuija Lehtinen 18.2.2014
Toimitilaturvallisuus Tarkoittaa toimitilojen fyysistä suojaamista, jonka avulla pyritään turvaamaan organisaation häiriötön toiminta Toimitilaturvallisuuteen kuuluu kulunvalvontaan, tekniseen valvontaan ja vartiointiin liittyvät toimenpiteet henkilöstön, vieraiden ja ajoneuvojen ohjaus palo-, vesi-, sähkö-, ilmastointi- ja murtovahinkojen torjunta
Vaatimukset toimitilaturvallisuudelle Tietoturvallisuus Julkisuuslaki (621/1999) Henkilötietolaki (523/1999) Tietoturva-asetus (681/2010) asiakirjojen luokittelun perusteet luokittelua vastaavat tietoturvavaatimukset asiakirjojen käsittelyn tietoturvavaatimukset asiakirjojen tietojenkäsittely- ja säilytystilojen tulee olla riittävästi valvottuja ja suojattuja Toimitilojen tietoturvaohje (VAHTI 2/2013)
Tietoturvavaatimusten huomioiminen Tietojen käytettävyys Tietojen luottamuksellisuus Kaikki tilat ja työpisteet eivät sovellu kaikkien tietojen käsittelyyn ST III tiedoista huolehdittava erityisesti Huomioitava tiedon elinkaari Henkilöstön turvallisuus Poistumisteiden varmistaminen
Asiakirja Muu asiakirja Viranomaisen asiakirja Salassa pidettävä Julkinen Suojaustaso IV Suojaustaso III Suojaustaso II Suojaustaso I (Käyttö rajoitettu) (Luottamuksellinen) (Salainen) (Erittäin salainen) Perustaso Korotettu taso Korkea taso Erityistaso Suojaustasomerkintöjä voidaan täydentää turvallisuusluokitusmerkinnöillä silloin, kun turvallisuusluokittelulle on erityiset perusteet (TTA 12 )
Asiakirjan elinkaaren hallinta Tietoturvatoimenpiteet suunniteltava siten, että ne kattavat asiakirjan koko elinkaaren Laatiminen Vastaanottaminen Käsittely Ulkoisten palveluiden käyttö Siirtäminen Luovuttaminen Arkistointi Hävittäminen Käsittelyvaatimukset ovat riippumattomia asiakirjan muodosta
Muutoksia uudessa toimitilakonseptissa Ei omia huoneita Ei omia työpisteitä Jos on papereita, on sovittava, miten paperit säilytetään Sovittava tuhottavien / hävitettävien papereiden säilytys ja hävittäminen Sovittava miten postit avataan Työpisteiden sijoittelussa huomioitava salassa pidettävien tietojen käsittely Kaikkien hallittava tietojen ja asiakirjojen käsittely (läppäreillä) liikkuvassa työssä
Tietoturvallisuus toimitiloissa Suojattavien kohteiden yksilöinti Tiedot, asiakirjat, tilat, laitteet, henkilöstö Prosessit, osaprosessit, toiminnot Tietoturvariskien arviointi ja hallinta Ulkopuolisten henkilöiden kohtelu Asiakkaat, sidosryhmät, yhteistyökumppanit, toimittajat Sopimukset, raportointi Jatkuvuussuunnittelu Jatkuvuussuunnitelmat ja niiden testaus
Tilaturvallisuusvaatimukset (TTA 14 ) Asianmukainen suojaus lukituksella, kulunvalvonnalla ja muilla toimenpiteillä Oikeudettomilta estetään pääsy luokiteltuihin tietoihin MML:n tiloissa kuorirakenne: jos ulko-ovi jää auki, niin tuulikaappi on vielä lukossan Ns. sipulirakenteessa tilojen sopivuus salassa pidettävien tietojen käsittelyyn paranee liikuttaessa sipulin sisälle päin Lukituksen tarkoitus estää asiattomien pääsy tiloihin sisälle Lukossa olevien ovien väliin ei saa laittaa mitään Poistumistiet on pidettävä vapaana
Turvakeinoja Henkilöiden tulee olla tunnistettavissa Laitoksen toimitiloissa Teknisissä tiloissa tai arkistoissa, joissa käsitellään ST III kuuluvia tietoja tai ST IV kuuluvia arkaluonteisia henkilötietoja Henkilökortit Jokaisen tulee käyttää henkilökorttia laitoksen tiloissa liikkuessaan Kulunvalvonta Kulkuoikeudet automaattisesti työntekijän työpisteeseen ja oman organisaatioyksikön muihin tiloihin sekä laitoksen yhteisiin tiloihin Muista oikeuksista päätetään harkinnan mukaan Sähköinen kulunvalvonta Erityistiloissa mahdollinen myös mekaaninen avain
Turvakeinoja Ulkopuolisten henkilöiden valvonta Ulkopuoliset liikkuvat laitoksen tiloissa vain henkilökortillisen saattajan seurassa Jokainen on velvollinen puuttumaan ilman henkilökorttia liikkumiseen Vierasliikenne Vieraat täyttävät vierailijalomakkeen ja saavat vierailijakortin Vieraat ovat laitoksen tiloissa isännän vastuulla
Turvakeinoja Tiedostetaan tilojen erityisluonne Pidetään huoli avaimista, käyttäjätunnuksista ja pin-koodeista Huolehditaan pohjapiirustuksista Ei puhuta arkaluontoisista tiedoista tarpeettomasti Huolellisuus avainten hallinnassa Pidetään huoli tiedoista ja asiakirjoista Tarpeettomat käyttöoikeudet passivoidaan Älä lörpöttele utelias kuuntelee!
Tarkkaile itseäsi miten käyttäydyt